unidad acadÉmica - repositorio pucesa: página de...

A

UNIDAD ACADÉMICA:

DEPARTAMENTO DE INVESTIGACIÓN Y POSTGRADOS

TEMA:

DISEÑO DE UNA METODOLOGÍA DE ADMINISTRACIÓN DE RIESGO OPERATIVO

PARA LA MINIMIZACIÓN DE PÉRDIDAS ECONÓMICAS, BASADA EN LA

RESOLUCIÓN SBS No. JB-834

Tesis previa a la obtención del título de:

Magister en Administración de Empresas mención en Planeación.

Línea de Investigación, Innovación y Desarrollo principal:

Gerencia, Planificación, Organización, Dirección y/o Control de Empresas

Caracterización técnica del trabajo:

Desarrollo (alternativamente Investigación o Innovación)

Autor:

Diana Gabriela Guerrero Soria

Director:

Eco. MG. Telmo Diego Proaño Córdova

Ambato – Ecuador

Mayo 2015

Diseño de una metodología de Administración de Riesgo

Operativo para la minimización de pérdidas económicas,

basada en la Resolución SBS No. JB-834

Informe de Trabajo de Titulación presentado

ante la

Pontificia Universidad Católica del Ecuador

Sede Ambato

Por:


En cumplimiento parcial de los requisitos para el Grado de Magister en Administración de Empresas, Mención en Planeación

Departamento de Investigación y Postgrados Mayo 2015

Diseño de una metodología de Administración de

Riesgo Operativo para la minimización de pérdidas

económicas, basada en la Resolución SBS No. JB-834

Aprobado por:

Juan Ricardo Mayorga Zambrano, PhD

Presidente del Comité Calificador

Director DIP

Ing. Mg. Paúl Zurita

Miembro Calificador

Eco. MG. Telmo Diego Proaño Córdova

Miembro Calificador

Director de Proyecto

Dr. Hugo Altamirano Villaroel

Secretario General

Ing. Mgs. Eduardo Zambrano R.

Miembro Calificador

Fecha de aprobación:

Mayo 2015

iii

Ficha Técnica

Programa: Magister en Administración de Empresas, Mención en Planeación

Tema: Diseño de una metodología de administración de Riesgo Operativo para la minimización de

pérdidas económicas, basada en la Resolución SBS No, JB-834

Tipo de trabajo: Propuesta Metodológica y Tecnológica Avanzada

Clasificación técnica del trabajo: Desarrollo

Autor: Diana Gabriela Guerrero Soria

Director: Eco. Mg. Telmo Diego Proaño Córdova

Líneas de Investigación, Innovación y Desarrollo

Principal: Gerencia, Planificación, Organización, Dirección y/o Control de Empresas

Secundaria: N/A

Resumen Ejecutivo

El presente documento abarca el Diseño de un sistema modelo de Riesgo Operativo, y se enfoca

particularmente en el cumplimiento normativo y legal ecuatoriano según la resolución JB - 834

emitido por la Superintendencia de Bancos del Ecuador, el cual se refiere a la implementación

obligatoria en todas las Instituciones Financieras controladas por el ente referido, sobre la

Administración del Riesgo Operativo. [11]

Este tipo de riesgo se encuentra presente de manera implícita en el desarrollo cotidiano de los

procesos y se puede materializar por muchas causas, generando pérdidas en la organización. El

método aplicado en esta investigación es Inductivo – Deductivo, con el cual se estableció la

metodología propuesta, su objetivo es crear procedimientos que permitan Identificar riesgos de

manera temprana, medirlos y conocer el nivel de exposición que representan en la institución,

controlarlos a través de planes de acción en base al apetito de riesgos institucional y generar técnicas

de monitoreo del cumplimiento de mitigantes y del nivel de exposición. [7]

El sistema modelo propuesto ha sido probado en la práctica a través de una prueba piloto y ha

generado un resultado enriquecedor para la Institución. El mantenimiento y mejoramiento del

sistema dependerá del grado de compromiso por parte de la alta dirección y la difusión impartida a

los colaboradores de la entidad, es vital la participación activa de todos los miembros de la

organización.

iv

Declaración de Originalidad y Responsabilidad

Yo, Diana Gabriela Guerrero Soria, portador de la cédula de ciudadanía No. 1802693828, declaro

que los resultados obtenidos en el proyecto de titulación y presentados en el informe final, previo a la

obtención del título de Magister en Administración de Empresas, Mención en Planeación, son

absolutamente originales y personales. En tal virtud, declaro que el contenido, las conclusiones y los

efectos legales y académicos que se desprenden del trabajo propuesto, y luego de la redacción de este

documento, son y serán de mi sola y exclusiva responsabilidad legal y académica.


CC: 1802693828

v

Dedicatoria

Andrés Camacho, mi esposo, quien mediante su apoyo y

ejemplo me ha enseñado que la dedicación y la

tenacidad realizan los sueños, y que el amor es lo más

importante en cada acción que emprendemos… Gracias!

Martina y Juliana, mis hijas, el fruto más puro de

nuestro amor, es por ellas que todo esfuerzo vale la

pena.

Iván y Anita, mis padres que me dieron la vida y el mejor

ejemplo, de quienes herede mis principios y valores, solo

me queda agradecerles por quien soy hoy!

Sin duda a DIOS, mi creador, mi luz, mi esperanza y mi

fe, por permitirme reír y llorar, por darme las

experiencias de vida que me han forjado y me han

enseñado la alegría de saber vivir en este mundo.

vi

Reconocimientos

Deseo extender un noble reconocimiento a:

Ing. Andrés Camacho, por su apoyo incondicional en la elaboración del proyecto de tesis.

Ing. Diego Proaño, Director de Tesis, quien con su total compromiso y colaboración ha aportado con

su conocimiento y experiencia al éxito del proyecto.

Dr. Juan Mayorga PhD, por sus sabios consejos, recomendaciones y notable apoyo en el proceso de

graduación de la maestría en curso.

Ing. Silvia Guerrero e Ing. Sandra Navas, quienes desinteresadamente han generado un valioso valor

agregado en el desarrollo del proyecto.

vii

Resumen


particularmente en el cumplimiento normativo y legal ecuatoriano según la resolución JB - 834

emitido por la Superintendencia de Bancos del Ecuador, el cual se refiere a la implementación

obligatoria en todas las Instituciones Financieras controladas por el ente referido, sobre la

Administración del Riesgo Operativo. [11]


procesos y se puede materializar por muchas causas, generando pérdidas en la organización. El

método aplicado en esta investigación es Inductivo – Deductivo, con el cual se estableció la

metodología propuesta, su objetivo es crear procedimientos que permitan Identificar riesgos de

manera temprana, medirlos y conocer el nivel de exposición que representan en la institución,

controlarlos a través de planes de acción en base al apetito de riesgos institucional y generar técnicas

de monitoreo del cumplimiento de mitigantes y del nivel de exposición. [7]


generado un resultado enriquecedor para la Institución. El mantenimiento y mejoramiento del

sistema dependerá del grado de compromiso por parte de la alta dirección y la difusión impartida a

los colaboradores de la entidad, es vital la participación activa de todos los miembros de la

organización

Palabras claves: metodología, cumplimiento, riesgos, exposición.

.

viii

Abstract

The present document covers the design of an operational risk management system model; it

focusses particularly on compliance with laws and regulations in accordance with Resolution JB-834,

issued by the Superintendency of Banks of Ecuador, which refers to the mandatory implementation

of operational risk management in all financial institutions by the aforementioned entity. [11]

This type of risk is implicit in the running of daily processes and it may materialize due to various

causes, generating losses in the organization. The method applied in this research is inductive –

deductive, through which the proposed methodology was established, and aims to create procedures

that help to identify risks early, measuring them and determining the level of exposure they

represent to the organization, controlling them through action plans based on institutional risks, and

generating techniques which monitor the fulfillment of mitigating measures and the level exposure.

[7]

The proposed system model has been put into practice through a pilot test and has generated a

profitable result for the institution. The maintenance and improvement of this system will depend on

the degree of commitment of top management, and adequate training for the entity’s collaborators.

The active participation of all members in the organization is vital.

Keywords: methodology, fulfillment, risk, exposure.

ix

Tabla de Contenidos

Ficha Técnica ....................................................................................................................................... iii

Declaración de Originalidad y Responsabilidad ................................................................................... iv

Dedicatoria ........................................................................................................................................... v

Reconocimientos ................................................................................................................................. vi

Resumen ............................................................................................................................................. vii

Abstract ............................................................................................................................................. viii

Lista de Tablas ..................................................................................................................................... xi

Lista de Figuras ................................................................................................................................... xii

CAPÍTULOS.......................................................................................................................................... xii

1. Introducción ............................................................................................................................... 1

1.1. Presentación del trabajo ............................................................................................................ 1

1.2. Descripción del Documento ....................................................................................................... 1

2. Planteamiento de la Propuesta de Trabajo ................................................................................ 3

2.1. Información técnica básica ......................................................................................................... 3

2.2. Descripción del problema ........................................................................................................... 3

2.3. Preguntas básicas ....................................................................................................................... 4

2.4. Formulación de meta ................................................................................................................. 5

2.5. Objetivos .................................................................................................................................... 5

2.6. Delimitación funcional................................................................................................................ 5

3. Marco Teórico............................................................................................................................. 7

x

3.1. Definiciones y conceptos ............................................................................................................ 7

3.2. Estado del Arte ......................................................................................................................... 12

4. Metodología ............................................................................................................................. 14

4.1. Diagnóstico .............................................................................................................................. 14

4.2. Método(s) aplicado(s) .............................................................................................................. 14

5. Resultados ................................................................................................................................ 16

5.1. Producto Final .......................................................................................................................... 16

5.1.1. Procedimiento de Planificación ................................................................................................ 18

5.1.2. Procedimiento de Identificación ............................................................................................... 19

5.1.3. Procedimiento de Medición ..................................................................................................... 23

5.1.4. Procedimiento de Control.- ...................................................................................................... 30

5.1.5. Procedimiento de Monitoreo.- ................................................................................................. 33

5.2. Evaluación preliminar ............................................................................................................... 35

5.2.1. Procedimiento de Planificación.- .............................................................................................. 35

5.2.2. Procedimiento de Identificación.- ............................................................................................. 38

5.2.3. Procedimiento de Medición. .................................................................................................... 42

5.2.4. Procedimiento de Control.- ...................................................................................................... 44

5.2.5. Procedimiento de Monitoreo.- ................................................................................................. 47

5.3. Análisis de resultados ............................................................................................................... 50

6. Conclusiones y Recomendaciones ............................................................................................ 54

6.1. Conclusiones ............................................................................................................................ 54

6.2. Recomendaciones .................................................................................................................... 55

REFERENCIAS ...................................................................................................................................... 56

xi

Lista de Tablas

1.- Factor de Riesgo ............................................................................................................................. 20

2.- Tipo de Debilidades ........................................................................................................................ 21

3.- Metodología de Frecuencia ............................................................................................................ 23

4.- Definición de Frecuencia ................................................................................................................ 23

5.- Metodología de Impacto ................................................................................................................ 24

6.- Definición del Impacto ................................................................................................................... 24

7.- Matriz de Riesgos ........................................................................................................................... 25

8.- Categorías de Eventos .................................................................................................................... 27

9.- Objetivos de Mitigación.................................................................................................................. 30

10.- Contribución a la Mitigación ......................................................................................................... 30

11.- Planificación de Trabajo ............................................................................................................... 37

12.- Matriz Preliminar de Riesgos ........................................................................................................ 39

13.- Matriz de Riesgos con Factor y Tipo de Debilidad ......................................................................... 41

14.- Matriz de Riesgos con Medición de Impacto y Frecuencia ............................................................ 42

15.- Matriz con Nivel de Riesgos .......................................................................................................... 43

16.- Matriz de Riesgos Con Tipo de Riesgo Nivel 1 y 2.......................................................................... 44

17.- Matriz de Riesgos con planes de acción ........................................................................................ 45

18.- Formato para recolección de eventos de pérdida materializados ................................................. 51

19.- Base de datos modelo para pérdidas materializadas .................................................................... 52

xii

Lista de Figuras

1.- Modelo Genérico del Sistema de Riesgo Operativo ........................................................................ 16

2.- Caracterización del Proceso: Sistema de Administración de Riesgo Operativo ................................ 17

3.- Diagrama de Flujo Procedimiento de Planificación ......................................................................... 19

4.- Diagrama de Flujo Procedimiento de Identificación........................................................................ 22

5.- Matriz de Riesgos Gráfica ............................................................................................................... 26

6.- Diagrama de Flujo Procedimiento de Medición .............................................................................. 29

7.- Diagrama de Flujo Procedimiento de Control ................................................................................. 32

8.- Diagrama de Flujo Procedimiento de Monitoreo ............................................................................ 34

9.- Matriz con Nivel de Riesgos Gráfica ................................................................................................ 43

10.- Nivel de exposición de Riesgos – Otorgamiento de Crédito .......................................................... 47

11.- Nivel de exposición por Factor de Riesgo– Otorgamiento de Crédito............................................ 48

12.- Nivel de exposición por Tipo de Riesgo– Otorgamiento de Crédito ............................................... 48

13.- Nivel de exposición por Procesos– Otorgamiento de Crédito ....................................................... 49

14.- Nivel de exposición por Procedimientos– Otorgamiento de Crédito ............................................. 49

CAPÍTULOS

1

Capítulo 1

1. Introducción

1.1. Presentación del trabajo

Día a día dentro del desarrollo de los procesos las organizaciones tienen debilidades que no siempre

son visibles, o en el peor de los casos los colaboradores se han acostumbrado a vivir con ellas sin

percatarse de las pérdidas económicas directas o indirectas que causan a las empresas. [1]

Las Instituciones Financieras, debido al requerimiento normativo; deben incorporar en sus

procesos de Administración Integral de Riesgos un Sistema de Administración de Riesgo Operativo [11],

es aquí donde se tiene dos caminos, crear un sistema por cumplimiento legal, o crear un sistema con

convicción de su beneficio de tal manera que este agregue valor y tenga un verdadero apoyo de la alta

Dirección, siendo esta la única manera de garantizar su resultado y generar un proceso de mejora

continua proactivo y efectivo.

El Sistema modelo propuesto, cumple con todos los requerimientos legales [11] (Identificar, medir,

controlar/mitigar y monitorear Riesgos Operativos), de una manera simple y económica para las

Instituciones, generando información de calidad para los futuros requerimientos que vendrán por parte

del Organismo de Control, principalmente en la constitución de provisiones.

1.2. Descripción del Documento

El Capítulo 1 está compuesto por la presentación del trabajo y la descripción del documento.

2

El Capítulo 2 denominado “Planteamiento de la propuesta de trabajo” contiene información técnica

básica del Informe Final del Trabajo de Titulación, descripción del problema y preguntas básicas,

formulación de la meta y Objetivos

El Capítulo 3, es el Marco Teórico donde se han expuesto las principales definiciones técnicas,

establecidas por la normativa legal ecuatoriana de Riesgo Operativo.

El Capítulo 4 corresponde a la metodología de la investigación utilizada para el desarrollo del

trabajo.

El Capítulo 5 contiene los resultados obtenidos en el presente trabajo, en la primera parte se

describe paso a paso la metodología propuesta tanto descriptiva como gráfica, e incluye las

herramientas que pueden ser utilizadas. En la segunda parte se puede apreciar una aplicación real de la

metodología y en la parte final se resaltan los principales resultados alcanzados.

Finalmente el Capítulo 6, detalla las principales conclusiones y recomendaciones que se han

identificado a lo largo del trabajo y que son propuestos por la autora.

3

Capítulo 2

2. Planteamiento de la Propuesta de Trabajo

2.1. Información técnica básica

Tema: Diseño de una metodología de administración de riesgo operativo para la minimización de

pérdidas económicas, basada en la Resolución SBS No. JB 834.

Tipo de trabajo: Propuesta Metodológica y tecnológica avanzada.

Clasificación técnica del trabajo: Desarrollo

Líneas de Investigación, Innovación y Desarrollo:

Principal: Gerencia, Planificación, Organización, Dirección y/o Control de Empresas

2.2. Descripción del problema

Dentro de las empresas y en especial de las Instituciones Financieras existe implícitamente la

presencia del Riesgo Operativo, a través de los Factores de Riesgo identificado en la Resolución JB-834

emitido por la Superintendencia de Bancos y Seguros en Octubre del 2005, los cuales son: Procesos,

Personas, Tecnología de la Información y Eventos Externos. [6]

El verdadero problema se da, cuando un evento de Riesgo se materializa dentro de la organización, y

fruto de este incidente la institución debe registrar un tipo de pérdida que, dependiendo de su

frecuencia e impacto; podría poner en riesgo la estabilidad de la empresa. Es aquí donde se presenta el

4

gran reto de los Directores, de balancear los objetivos comerciales y de crecimiento con el grado de

incertidumbre dispuesta a aceptar y a exponer a la organización. [2]

Desarrollar e implementar un Sistema de Administración de Riesgo Operativo, es una medida

preventiva, que proactivamente ayuda a la Institución a Identificar, Medir, Controlar/Mitigar y

Monitorear los potenciales eventos de Riesgo, generando niveles de Riesgo aceptables y con sus

debidos rangos de tolerancia. [6]

Adicionalmente, para las Instituciones Controladas por la Superintendencia de Bancos del Ecuador

es un requisito obligatorio que se debe cumplir.

2.3. Preguntas básicas

¿Cómo aparece el problema que se pretende solucionar?

Como se mencionó en la “Descripción del Problema”, dentro de las empresas y en especial de las

Instituciones Financieras existe implícitamente la presencia del Riesgo Operativo, el cual se puede

materializar en cualquier momento, generando pérdidas económicas en la Institución. [8]

¿Por qué se origina?

Dentro de la Resolución JB-834 emitida por la Superintendencia de Bancos y Seguros, existe la

categorización de eventos [11] [5], estas son las razones por la cual se materializa un evento:

Fraude Interno

Fraude Externo

Relaciones laborales y seguridad en el puesto de trabajo

Prácticas con clientes, productos y negocios.

Daños de activos materiales

Incidencias del negocio y fallos en los sistemas

Ejecución, entrega y gestión de procesos

5

2.4. Formulación de meta

Generar una metodología general para la administración del Riesgo Operativo que permita a

Instituciones Financieras reguladas por la Superintendencia de Bancos del Ecuador dar cumplimiento

al requerimiento establecido.

2.5. Objetivos

Objetivo General: Diseñar un Sistema de administración de Riesgo Operativo, que permita identificar,

medir, controlar / mitigar y monitorear los riesgos de manera preventiva.

Objetivos Específicos:

Diseñar una metodología modelo para la gestión de riesgos operativos

Desarrollar los instrumentos / registros e instructivos necesarios para el desarrollo

metodológico.

Desarrollar modelos de reportes para el monitoreo de los riesgos

2.6. Delimitación funcional

Pregunta 1.- ¿Qué será capaz de hacer el producto final del proyecto de Titulación?

Este producto será capaz de identificar tempranamente potenciales eventos de riesgos y plantear

sus mitigantes, de tal manera que las entidades eviten incurrir en pérdidas económicas por la

materialización de riesgos operativos.

6

Este producto permitirá dar cumplimiento al requerimiento normativo emitido por la

Superintendencia de Bancos del Ecuador, en cuanto a la creación de un sistema de gestión de riesgo

operacional dentro de las Instituciones Financieras controladas.

7

Capítulo 3

3. Marco Teórico

3.1. Definiciones y conceptos

Conocer los conceptos de los diferentes autores dedicados a la investigación del Riesgo Operativo,

constituye la base para el desarrollo metodológico, por lo que se referencia las siguientes definiciones:

Según el Comité de Supervisión Bancaria de Basilea, se determina la siguiente definición:

“El Riesgo Operativo se define como el riesgo de pérdida debido a la inadecuación o a fallas de los

procesos, personas y los sistemas internos o bien a causa de acontecimientos externos. Esta definición

incluye el riesgo legal, pero excluye el riesgo estratégico y el de reputación”. [5]

Esta definición de Riesgo Operativo ha sido adoptada también por la Superintendencia de Bancos

del Perú [13].

Según el Autor José Ignacio Llaguno Musos, manifiesta lo siguiente:

“El Riesgo Operativo se inscribe en el subsistema operativo de las entidades de crédito, en el que se

ejecutan todas las transformaciones y resultados, positivos y negativos de estas entidades. La Gestión de

este riesgo pertenece por antonomasia a la denominada dirección operativa de la empresa. Por tanto, el

bagaje intelectual de la Economía de la Empresa, en todas sus dimensiones, de producción, de gestión del

conocimiento, etc., aporta y aportará nociones y recomendaciones de utilidad.” [10]

Según el Artículo 2, de la Sección I.- Alcance y Definiciones, del Capítulo I.- De la Gestión Integral y

Control de Riesgos, del Título X.- De la Gestión Integral de Riesgos, del Libro I.- Normas Generales para

8

la aplicación de la Ley General de Instituciones del Sistema Financiero [12], se determina los siguientes

conceptos relacionados a la Administración Integral de Riesgos:

Riesgo.- Es la posibilidad de que se produzca un hecho generador de pérdidas que afecten el valor

económico de las Instituciones. [12]

Administración de Riesgo.- Es el proceso mediante el cual las Instituciones del sistema financiero

identifican, miden, controlan / mitigan, y monitorean los riesgos inherentes al negocio, con el objetivo de

definir el perfil de riesgos, el grado de exposición que la institución está dispuesto a asumir en el desarrollo

del negocio y los mecanismos de cobertura, para proteger los recursos propios y de terceros que se

encentren bajo su control y administración. [12]

Riesgo Operativo.-Es la posibilidad de que se produzcan pérdidas debido a eventos originados en

fallas o insuficiencias de procesos, personas, sistemas internos, tecnología, y en la presencia de eventos

externos imprevistos. Incluye el riesgo legal pero excluye los riesgos sistémico y de reputación.

Agrupa una variedad de riegos relacionados con deficiencias de control interno; sistemas, procesos y

procedimientos inadecuados; errores humanos y fraudes; fallas en los sistemas informáticos; ocurrencia

de eventos externos o internos adversos, es decir, aquellos que afectan la capacidad de la Institución para

responder por sus compromisos de manera oportuna, o comprometen sus intereses. [12]

Exposición.-Está determinada por el riesgo asumido menos la cobertura implantada.” [12]

Según el Artículo 2, de la Sección I.- Alcance y Definiciones, del Capítulo V.- De la Gestión del Riesgo

Operativo, del Título X.- De la Gestión Integral de Riesgos, del Libro I.- Normas Generales para la

aplicación de la Ley General de Instituciones del Sistema Financiero [11], se determina las siguientes

definiciones:

“Evento de Riesgo Operativo.- Es el hecho que pueda derivar en pérdidas financieras para la

Institución controlada. [11]

9

Factor de Riesgo Operativo.- Es la causa primaria o el origen de un evento de riesgo operativo. Los

factores son los: procesos, personas, tecnología de la información y eventos externos. [11]

Proceso.- Es el conjunto de actividades que transforman insumos en productos o servicios con valor

para el cliente, sean internos o externos. [11]

Procedimiento.- Es el método que específica los pasos a seguir para cumplir un propósito

determinado. [11]

Proceso crítico.- Es el indispensable para la continuidad del negocio y las operaciones de la institución

controlada, y cuya falta de identificación o aplicación deficiente puede generar un impacto financiero

negativo. [11]

Riesgo Legal.- Es la probabilidad de que una institución del sistema financiero sufra pérdidas directas

o indirectas; de que sus activos se encuentren expuestos a situaciones de mayor vulnerabilidad; de que sus

pasivos y contingentes puedan verse incrementados más allá de los niveles esperados, o de que el

desarrollo de sus operaciones enfrente la negligencia, impericia, imprudencia o dolo, que deriven de la

inobservancia, incorrecta o inoportuna aplicación de disposiciones legales o normativas, así como de

instrucciones de carácter general o particular emanadas por los organismos de control, dentro de sus

respectivas competencias; o; en sentencias o resoluciones jurisdiccionales o administrativas adversas, o de

la deficiente redacción de los textos, formalización o ejecución de actos, contratos o transacciones,

inclusive distintos a los de su giro de negocio o porque los derechos de las partes contractuales no han

sido claramente estipuladas. [11]

Según la Resolución SBS No. 2116 – 2009 emitida por el Superintendente de Banca, Seguros y

Administradores Privados de Fondos de Pensiones del Perú [13], Artículo 2, emite las siguientes

definiciones:

“Apetito de Riesgo.- El nivel de Riesgo que la empresa está dispuesta a asumir en su búsqueda de

rentabilidad y valor [13].

Directorio.- Toda referencia al directorio, entiéndase realizada también a cualquier órgano

equivalente [13].

10

Evento.- Un suceso o serie de sucesos que pueden ser internos o externos a la empresa, originados por

la misma causa, que ocurren durante el mismo periodo de tiempo [13].

Evento de pérdida por riesgo operacional.- El evento que conduce a una o varias pérdidas, cuyo

origen corresponde al riesgo operacional [13].

Información.- Cualquier forma de registro electrónico, óptico, magnético o en otros medios,

susceptible de ser procesada, distribuida y almacenada [13].

Proceso.- Conjunto de actividades, tareas y procedimientos organizados y repetibles que producen un

resultado esperado [13].

Riesgo legal.- Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de

contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales

como cambios regulatorios, procesos judiciales, entre otros [13].

Tolerancia al riesgo.- El nivel de variación que la empresa está dispuesta a asumir en caso de

desviación de los objetivos empresariales trazados [13]”.

Según la norma AS/NZS 4360:1999 Estándar Australiano Administración de Riesgos [3], se define lo

siguiente:

“Aceptación de riesgo: una decisión informada de aceptar las consecuencias y probabilidad de un

riesgo en particular. [3]

Administración de riesgos: la cultura, procesos y estructuras que están dirigidas hacia la

administración efectiva de oportunidades potenciales y efectos adversos. [3]

Análisis de riesgo: un uso sistemático de la información disponible para determinar cuan

frecuentemente pueden ocurrir eventos especificados y la magnitud de sus consecuencias. [3]

Consecuencia: el producto de un evento expresado cualitativa o cuantitativamente, sea este una

pérdida, perjuicio, desventaja o ganancia. Podría haber un rango de productos posibles asociados a un

evento. [3]

Control de riesgos: la parte de administración de riesgos que involucra la implementación de

políticas, estándares, procedimientos y cambios físicos para eliminar o minimizar los riesgos adversos. [3]

11

Evaluación de riesgos: el proceso utilizado para determinar las prioridades de administración de

riesgos comparando el nivel de riesgo respecto de estándares predeterminados, niveles de riesgo objetivos

u otro criterio. [3]

Evento: un incidente o situación, que ocurre en un lugar particular durante un intervalo de tiempo

particular. [3]

Evitar un riesgo: una decisión informada de no verse involucrado en una situación de riesgo. [3]

Frecuencia: una medida del coeficiente de ocurrencia de un evento expresado como la cantidad de

ocurrencias de un evento en un tiempo dado. [3]

Identificación de riesgos: el proceso de determinar qué puede suceder, por qué y cómo. [3]

Ingeniería de riesgos: la aplicación de principios y métodos de ingeniería a la administración de

riesgos. [3]

Monitoreo: comprobar, supervisar, observar críticamente, o registrar el progreso de una actividad,

acción o sistema en forma sistemática para identificar cambios. [3]

Pérdida: cualquier consecuencia negativa, financiera o de otro tipo. [3]

Probabilidad: la probabilidad de un evento específico o resultado, medido por el coeficiente de eventos

o resultados específicos en relación a la cantidad total de posibles eventos o resultados. La probabilidad se

expresa como un número entre 0 y 1, donde 0 indica un evento o resultado imposible y 1 indica un evento o

resultado cierto. [3]

Probabilidad: utilizado como una descripción cualitativa de probabilidad o frecuencia. [3]

Proceso de administración de riesgos: la aplicación sistemática de políticas, procedimientos y

prácticas de administración a las tareas de establecer el contexto, identificar, analizar, evaluar, tratar,

monitorear y comunicar riesgos. [3]

Reducción de riesgos: una aplicación selectiva de técnicas apropiadas y principios de administración

para reducir las probabilidades de una ocurrencia, o sus consecuencias, o ambas. [3]

Riesgo residual: el nivel restante de riesgo luego de tomar medidas de tratamiento del riesgo. [3]

Riesgo: la posibilidad de que suceda algo que tendrá un impacto sobre los objetivos. Se lo mide en

términos de consecuencias y probabilidades. [3]

12

Transferir riesgos: cambiar la responsabilidad o carga por las pérdidas a una tercera parte mediante

legislación, contrato, seguros u otros medios. Transferir riesgos también se puede referir a cambiar un

riesgo físico, o parte el mismo a otro sitio. [3]

Tratamiento de riesgos: selección e implementación de opciones apropiadas para tratar el riesgo” [3]

Comprendemos que las redacciones entre los diferentes autores varían, sin embargo las

definiciones conceptuales son similares y mantienen el mismo espíritu entre sí.

El concepto general al cual se enfoca la metodología propuesta en esta investigación, es

principalmente la emitida en la normativa ecuatoriana [11], la cual excluye los riesgos generados en el

entorno político, económico y social.

3.2. Estado del Arte

En el Ecuador el Sector financiero a través de la Superintendencia de Bancos y Seguros ha sido la

pionera en generar una normativa de Riesgo Operacional la cual ha tenido vigencia por casi 10 años.

Las Instituciones Financieras controladas, tienen la obligación de cumplir con este requerimiento

normativo para lo cual empresas consultoras de Riesgos han desarrollado diferentes tipos de

metodologías basadas en mejores prácticas internacionales, lamentablemente no todas las empresas

tienen los recursos para acceder a este tipo de consultorías que generalmente están concentradas en

las ciudades de Quito y Guayaquil. [10]

La Superintendencia de Bancos y Seguros del vecino país Perú, comprendiendo la importancia de

controlar el Riesgo Operacional [13] ha generado constantes innovaciones y mejoras en la normativa

legal, generando requerimientos de información periódica de las Instituciones Financieras al organismo

de control en referencia, y requerimientos de capital a través de modelos de cálculo de provisiones, que

dependiendo de la madurez de los Sistemas, las empresas deben aplicarlo. Estos modelos se encuentran

expuestos en Basilea II, Pilar I, el cual propone tres enfoques para calcular requerimientos de capital

13

por Riesgo Operativo, en orden creciente de complejidad y sensibilidad al riesgo, estos son: Método de

Indicar Básico (BIA); Método Estándar (TSA) y una extensión del mismo denominada Método Estándar

Alternativo (ASA); y, Método de Medición Avanzado (AMA). [5]

Claramente se puede concluir que este tipo de requerimientos serán incorporados en la normativa

nacional en el mediano o largo plazo, por lo que es de vital importancia para las Instituciones

controladas estar preparadas y tener Sistemas de Riesgo Operativo eficientes y que aporten con

información que permita generar la menor cantidad de requerimientos de capital y así mantener

procesos controlados dentro del desarrollo de sus funciones, es por esto que se ha propuesto la

creación de modelo metodológico de Riesgo Operativo que sea comprensible y de fácil aplicación para

cualquier Institución Financiera, la cual estará orientada principalmente en el cumplimiento normativo

y legal ecuatoriano.

14

Capítulo 4

4. Metodología

4.1. Diagnóstico

Para la obtención de datos en primera instancia se realizó una investigación bibliográfica donde

principalmente se analiza las Resolución emitida para entender con claridad los requisitos requeridos.

Adicionalmente se investigó la resolución emitida por el vecino país Perú, y a varios autores

dedicados a la asesoría en Riesgos y Control Interno, como son: Committe of Sponsoring Organizations

of the Treadway Commission (COSO) [6] [7], Ana Fernandez-Laviada [1], Carlos Heredia [8], Estándar

Australiano en Administración de Riesgos [3], entre otros.

Luego y con el apoyo de una Institución Financiera del entorno, que solicitó mantener su nombre en

anonimato, debido a las políticas internas institucionales, se procedió a realizar un plan piloto de la

implementación de la Metodología propuesta por la autora, cuyos resultados se presentan en el

Capítulo 5, en el subtítulo 5.1 Evaluación Preliminar.

4.2. Método(s) aplicado(s)

Para el presente trabajo se ha aplicado el método Inductivo – Deductivo con el cual se procedió al

desarrollo de la metodología del Sistema modelo de Administración de Riesgo Operativo, la

metodología fue aplicada tanto en la investigación bibliográfica como en el levantamiento de la

información en campo.

15

Se aplicó en la investigación bibliográfica a través de la lectura de libros, documentos, blogs, y

experiencias reales en cuanto a la Gestión del Riesgo Operativo, tanto a nivel nacional como

internacional, en especial los países más cercanos al Ecuador.

En la investigación de campo para entender el día a día de los procesos y ejecutar una aplicación

real de la metodología propuesta, de tal manera que en la práctica se pueda realizar las correcciones o

afinaciones metodológicas necesarias y conforme a la realidad de la Institución.

Las técnicas utilizadas en la investigación fueron:

Entrevistas.-

o A consultores y asesores en la materia de Administración Integral de Riesgos;

o A Auditores Internos de Instituciones financieras, que tienen la obligación de velar

por el cumplimiento de los requisitos legales y reglamentarios dentro de la

compañía;

o A los principales funcionarios relacionados al proceso evaluado dentro de la

metodología propuesta por la autora.

Observación Directa.-

o En la ejecución diaria de los procesos organizacionales, para entender actividades,

responsabilidades, herramientas tecnológicas y herramientas del proceso.

Recopilación de datos.-

o A través de talleres de trabajo estructurados dentro de una planificación de

trabajo, dentro de la Institución donde se aplicó el plan piloto de la metodología.

16

Capítulo 5

5. Resultados

5.1. Producto Final

La Administración de Riesgo Operativo debe ser un proceso continuo que cumpla al menos con las 4

etapas contempladas en la Resolución JB-834 emitida por la Superintendencia de Bancos del Ecuador

[4], adicionalmente para el modelo genérico propuesto se plantea integrar una etapa más de

Planificación:

Figura 1.- Modelo Genérico del Sistema de Riesgo Operativo

Fuente: Investigación de Campo Elaboración: GUERRERO, Diana (2015)

Con el objetivo de comprender de manera macro el funcionamiento del Sistema propuesto, en la

Figura 2 se detalla una caracterización general del proceso con sus principales elementos.

1.- Planificar

2.- Identificar

3.- Medir 4.- Controlar

/ Mitigar

5.- Monitorear

17

Figura 2.- Caracterización del Proceso: Sistema de Administración de Riesgo Operativo

02-abr-15

Proveedor Cliente

Gestión de Procesos Gestión de Procesos

Gerencia General

Directorio

Equipos de computo Papelería Sala de Reuniones

Equipo de trabajo relacionado al proceso en evaluación Impresoras Correo electrónico interno Proyector

Teléfono Muebles de oficina Pizarra y material de oficina

Frecuencia Responsable de Medir Responsable de Gestionar Observaciones

Matriz de Riesgos Aprobada

Identificación de debilidades, definición de Riesgos potenciales,

determinación de tipo de pérdidas, clasificación de factor de riesgos y tipo

de debilidad

Medición de riesgos (frecuencia e impacto), determinación de nivel de

riesgos, definición de procesos y procedimientos afectados y selección de

tipo de riesgos

Decisión de los procesos a ser evaluados

Matriz con Riesgos identificadosComité de Administración Integral de Riesgos

(CAIR)

Matriz con Riesgos Identificados

Matriz con Riesgos Medidos

n/a

1.- Matriz de Procesos Críticos

2.- Acta de Reunión

3.- Matriz preliminar de Riesgos

4.- Matriz con Riesgos Identificados

5.- Matriz con Riesgos Medidos

6.- Matriz con nivel de Riesgos

7.- Matriz de Riesgos por tipo de Riesgo

8.- Matriz de Riesgos con Planes de acción

9.- Seguimientos de planes de acción

10.- Informe de Riesgo Operativo

Comité de Administración

Integral de Riesgos (CAIR)

Planificación de ciclos de trabajo

Matriz con Riesgos Medidos

Evaluación de Procesos Críticos Institucionales

Procedimientos de Planificación

Procedimientos de Identificación

Procedimientos de Medición

Procedimientos de Control y Mitigación

Procedimientos de Monitoreo

CAIR

Riesgo Operativo Dueño del Proceso

Caracterización de Procesos

FECHA DE ACTUALIZACIÓN:Sistema de Administración de Riesgo OperativoPROCESO:

OBJETIVO:

ALCANCE:

DUEÑO DEL PROCESO:

Definición de planes de acción, objetivos y contribución a la mitigación de

riesgos

Establecer el Sistema de Administración de Riesgo Operativo, detallando las etapas de Planificación, Medición, Control y Monitoreo; mitigando las debilidades identificadas y controlando el Nivel de Riesgo

aceptado y no aceptado por la Institución.

Desde la Planificación de los ciclos, en base a los procesos críticos de la Institución, hasta el seguimiento y cierre de planes de acción; monitoreando y reportando el Nivel de Riesgo de la Institución.

Responsable de Riesgo Operativo

Decisión sobre procesos a ser evaluados por ciclos

Documentación:

Métodos y Criterios / Registros

Procedimientos e Instructivos

ACTIVIDADESENTRADAS

Registros, Documentos Generales

SALIDAS

Monitoreo y reportes del avance de los planes de mitigación y del nivel de

riesgos del proceso evaluado

Recursos necesarios

Humanos Materiales / Otros

Normativa Externa relacionada Capítulo V.- De la Gestión del Riesgo Operativo, del Título X.- De la Gestión Integral de Riesgos, del Libro I.- Normas Generales para la aplicación de la Ley General de Instituciones del Sistema Financiero

Responsables de Planes de acción


Trimestral

Indicador(es) de Gestión

Indicador Fórmula

Nivel de Exposición de Riesgos InstitucionalCantidad de riesgos altos y catastróficos /

Total de riesgos identificados

Nivel de Exposición de Riesgos por Proceso

Cantidad de riesgos altos y catastróficos por

proceso /

Total de riesgos identificados por proceso

Mensual

Jefe de Riesgos Riesgo Operativo n/a

Identificación de Riesgos

Reportes de Riesgo Operativo

Matriz de Riesgos aprobados

18

A continuación se describe la metodología para cada etapa del modelo propuesto, la cual incluye

Riesgo Operativo inherente al desarrollo de las actividades de la Institución:

5.1.1. Procedimiento de Planificación

Periódicamente a través de una matriz de ponderación de Procesos Críticos, el CAIR (Comité de

Administración Integral de Riesgo) debe decidir qué proceso organizacional será evaluado por el

Sistema de Riesgo Operativo.

Esta decisión debe estar documentada en actas y debe ser difundida a los colaboradores

involucrados en el proceso.

El Responsable de Riesgo Operativo, debe realizar una Planificación de Trabajo que será

sociabilizado con el equipo de trabajo definido.

Idealmente el equipo de trabajo debe estar conformado al menos por las siguientes funciones:

Dueño del proceso

Oficial de Cumplimiento

Oficial de Seguridad de la Información

Auditor Interno


Y los demás que de alguna manera se interrelacionen con el proceso evaluado

19

Figura 3.- Diagrama de Flujo Procedimiento de Planificación

Diagrama de Flujo Planificación

PROVEEDOR ENTRADA CAIR SALIDA CLIENTE

Sistema de

Administración

de Riesgo

Operativo

Evalúa la información

y toma la decisión de

que ciclos se

ejecutarán en el

periodo

Identificación

de Riesgos

Definición de

procesos críticos

de la Institución

1

Decisión sobre los

procesos a ser

evaluados

2

DOCUMENTOS:1.- Matriz de Procesos Críticos


Nomenclatura de Diagramas de Flujo utilizado.

SUBPROCESO PROCESO DOCUMENTO DECISION CONECTOR

FO

RM

AS

Fuente: Investigación de Campo

Elaboración: GUERRERO, Diana (2015)

5.1.2. Procedimiento de Identificación

El Responsable de Riesgo Operativo previa la ejecución de los talleres de trabajo, debe revisar la

documentación relacionada al proceso evaluado, por ejemplo: Normativas legales vigentes,

Resoluciones emitidas por los organismos de control, Manuales políticas y procedimientos internos,

Instructivos, Registros, Actas de reuniones, Informes de Auditoria interna y externa, Informes de

Calificadora de Riesgos, entre otros.

Con esta información el Responsable de Riesgo Operativo debe identificar debilidades al proceso

evaluado y define potenciales eventos de riesgo operativo. Un Potencial evento de Riesgo Operativo

debe tener asociado un tipo de pérdida, que pueden ser:

20

Disminución en el valor de los Activos Financieros.- consiste en la reducción directa del

valor de los activos debido a robo, fraude, actividad no autorizada, o pérdidas de mercado

o de crédito resultantes de eventos operacionales.

Pérdida o Daños en Activos Materiales.- reducción directa en el valor de los activos

físicos debido a algún tipo de accidente (negligencia, accidente, fuego, terremoto, etc.).

Indemnizaciones / Restituciones.- pagos a terceros por restitución de impactos sufridos

por eventos de riesgo operativo en los que la Entidad es responsable.

Multas y Sanciones (de regulación, de cumplimiento y fiscales).- multas o el costo

directo de cualquier otra penalización (revocación de licencias, etc.).

Pérdidas de Contraparte.- pérdidas incurridas cuando un tercero no honra sus

obligaciones con la Entidad a consecuencia de error o evento operacional (i.e. que

pudieron haberse evitado a pesar del rechazo o la incapacidad de la contraparte a pagar).

Responsabilidad Legal.- costos por juicios, liquidaciones y otros de índole legal.

Con la información levantada en los pasos anteriores, el Responsable de Riesgo Operativo levanta la

Matriz preliminar de Riesgos y convoca al equipo de trabajo para el taller de revisión.

El equipo de trabajo en el taller convocado, debe ratificar o descartar la existencia de los Riesgo

presentados y de la debilidad asociada a cada Riesgo. Además debe clasificarlos por Factor de Riesgos,

por tipo de Debilidad según las tablas 1 y 2.

Tabla 1.- Factor de Riesgo

1 Procesos

2 Personas

3 Tecnología de la información

4 Eventos Externos

Fuente: Resolución JB-834 Superintendencia de Bancos y Seguros


21

Tabla 2.- Tipo de Debilidades

No. Factor de Riesgo Tipo de Debilidad por Factor

1 Procesos

Inadecuado diseño de Procesos / Productos Proceso no documentado Ausencia de políticas Políticas inadecuadas Capacidad instalada insuficiente Falta de automatización de los procesos Información desactualizada Debilidades en el control interno Debilidades en la seguridad física Contratos inadecuados / incompletos Selección inadecuada de los proveedores Ausencia de un plan de contingencia Inadecuada implementación de Procesos / Productos Deficiencias en el proceso de generación y manejo de información Documentación incompleta

2 Personas

Perfil inadecuado Rotación inadecuada del personal Pérdida del personal clave-concentración del conocimiento Negligencia (Descuido-Olvido) Falta de capacitación Ausencia de un régimen de sanciones Procesos de selección de personal inadecuado Accidente de trabajo Enfermedad laboral Actividades no autorizadas Divulgación de información no autorizada Fraude interno Fallas en la definición de perfiles y usuarios

3 Tecnología de la

información

Falta de capacidad de las telecomunicaciones Falta de capacidad del hardware Debilidades en la seguridad informática Errores en el diseño de interfaces Errores en el diseño de los aplicativos Errores en la parametrización de las transacciones/productos Fallas en la implementación de perfiles de usuarios Fallas en el funcionamiento de hardware Mal funcionamiento de software Software inapropiado/incompatible Fallas en redes Errores o debilidades en la estructura de la Base de Datos

4 Eventos Externos

Fallas en el suministro de energía Catástrofes naturales Disturbios civiles Actos terroristas Incumplimiento de contratos de terceros Fraude externo/asalto/robo Negligencia profesional de terceros Cambios en las regulaciones/leyes Disposiciones gubernamentales La intrusión en los sistemas informáticos La intrusión en Instalaciones Físicas

Fuente: Investigación de Campo* Elaboración: GUERRERO, Diana (2015)

*Esta tabla ha sido creada en base a la experiencia en la Administración de Riesgo Operativo y puede ser modificada conforme el nuevo aprendizaje adquirido en el tiempo

Luego de realizar este trabajo, se debe tener como resultado la Matriz con riesgos identificados.

22

Figura 4.- Diagrama de Flujo Procedimiento de Identificación

Diagrama de Flujo de Identificación

PROVEEDOR ENTRADA Riesgo OperativoEquipo de trabajo

TallerSALIDA CLIENTE

Planeación

Revisa la

documentación

relacionada al

proceso evaluado

Leyes, Normativas

legales, Resoluciones,

Manuales y Políticas,

Procedimientos,

Instructivos, Registros,

Actas, informes de

Auditorias, etc.

Identifica

debilidades

Define potenciales

riesgo en base a

las debilidades

Determina el Tipo

de Perdida

Entrevista al

personal

involucrado en el

proceso

Conforma el

equipo de trabajo

y convoca al taller

Ratifican la

existencia del

Riesgo

Confirma la

debilidad asociada

al riesgo

Clasifica la

debilidad según

Factor de Riesgo

Clasifica el Tipo

de Debilidad

Medición

Decisión sobre los

procesos a ser

evaluados

2

3 3

3

Realiza Matriz

preliminar de

Riesgos3

4 4

Matriz con

Riesgos

Identificados4

DOCUMENTOS:


3.- Matriz Preliminar de Riesgos

4.- Matriz con Riesgos

Identificados



FO

RM

AS


23

5.1.3. Procedimiento de Medición

El equipo de trabajo define el criterio de cálculo para la determinación del Impacto y frecuencia para

cada Riesgo Identificado, y se procede con la medición.

Para definir la Frecuencia se podrá utilizar la siguiente metodología:

Tabla 3.- Metodología de Frecuencia

Probabilidad Frecuencia Fórmula Límite Superior

Baja = 1 vez al año (1 vez / 360 días) 0,28%

Media Baja = 1 vez al semestre (2 veces / 360 días) 0,56%

Medía = 1 vez al mes (12 veces / 360 días) 3,33%

Medía Alta = 1 vez a la semana (52 veces / 360 días) 14,44%

Alta = Todos los días (360 veces / 360 días) 100,00% Fuente: Investigación de Campo*


*Esta tabla ha sido creada en base a la experiencia en la Administración de Riesgo Operativo y puede ser modificada conforme el nuevo aprendizaje adquirido en el

tiempo

Tabla 4.- Definición de Frecuencia

Probabilidad Límite Inferior Límite Superior

1.Baja 0,00% 0,28%

2.Media Baja 0,29% 0,56%

3.Media 0,57% 3,33%

4.Media Alta 3,34% 14,44%

5.Alta 14,45% 100,00% Fuente: Investigación de Campo*


*Esta tabla ha sido creada en base a la experiencia en la Administración de Riesgo Operativo y

puede ser modificada conforme el nuevo aprendizaje adquirido en el tiempo

24

Para determinación del impacto la Institución debe definir cuanto está dispuesto a perder

económicamente por la materialización de un evento de riesgo operativo, en la experiencia adquirida se

recomienda realizar esta medición en base a la utilidad de la Compañía, a continuación se ejemplifica

esta metodología, la cual será utilizada como modelo para el Sistema Propuesto:

Tabla 5.- Metodología de Impacto

Utilidad ejercicio anterior (Eje: 2014) $ 2’000.000,00

% máximo dispuesto a perder 1%

Pérdida máxima aceptada $ 20.000,00 Fuente: Investigación de Campo


En base a la definición de la Tabla 5, se debe crear los rangos de impacto, para la medición de los

potenciales eventos, a continuación se ejemplifica la definición del impacto:

Tabla 6.- Definición del Impacto

Impacto Límite inferior Límite Superior

Insignificante $ 0,00 $ 2.000,00

Menor $ 2.001,00 $ 5.000,00

Moderado $ 5.001,00 $ 10.000,00

Significativo $ 10.001,00 $ 20.000,00

Catastrófico Más de $ 20.000,00 Fuente: Investigación de Campo


Una vez que se ha realizado la medición de la frecuencia e impacto de cada Riesgo Identificado, se

debe aplicar la conjugación de estos dos elementos, y definir el nivel de Riesgo para cada evento, para

esta actividad se ha elaborado la siguiente Matriz de Riesgos:

25

Tabla 7.- Matriz de Riesgos

Probabilidad Impacto Nivel de Riesgo Color:

Baja Insignificante Riesgo Bajo

Baja Menor Riesgo Bajo

Baja Moderado Riesgo Bajo

Baja Significativo Riesgo Medio

Baja Catastrófico Riesgo Medio

Media Baja Insignificante Riesgo Bajo

Media Baja Menor Riesgo Medio

Media Baja Moderado Riesgo Medio

Media Baja Significativo Riesgo Medio

Media Baja Catastrófico Riesgo Alto

Media Insignificante Riesgo Bajo

Media Menor Riesgo Medio

Media Moderado Riesgo Medio

Media Significativo Riesgo Alto

Media Catastrófico Riesgo Alto

Media Alta Insignificante Riesgo Medio

Media Alta Menor Riesgo Medio

Media Alta Moderado Riesgo Alto

Media Alta Significativo Riesgo Alto

Media Alta Catastrófico Riesgo Catastrófico

Alta Insignificante Riesgo Medio

Alta Menor Riesgo Alto

Alta Moderado Riesgo Alto

Alta Significativo Riesgo Catastrófico

Alta Catastrófico Riesgo Catastrófico

Fuente: AS/NZS 4360:1999 Estándar Australiano – Administración de Riesgos: Australia [3]


26

Figura 5.- Matriz de Riesgos Gráfica


Dependiendo de la exposición al Riesgo del Gobierno Corporativo Institucional, la organización debe

definir el nivel de Tolerancia, el cual podría ser los Riesgos que en su Nivel se han categorizado en

“Riesgo Medio, Alto y Catastrófico”, los cuales deben ser Controlados y Mitigados, priorizando los que

generan mayor impacto económico para la Institución Financiera, Los Riesgos en Nivel Bajo son los

riesgos aceptados por la Institución, por lo tanto no deben ser gestionados.

Finalmente se debe identificar el Proceso y los Procedimientos afectados además del Tipo de Riesgo

Nivel 1 y Nivel 2 en base a la siguiente tabla:

5. A

LTA

De

14

,45

% a

10

0%

4. M

EDIA

ALT

A

De

3,3

4%

a

14

,44

3. M

EDIA

De

0,5

7%

a

3,3

3%

2. M

EDIA

BA

JA

De

0,2

9%

a

0,5

6%

1. B

AJA

De

0,0

0%

a

0,2

8%

De $ 0,00 a $

2.000,00

De $ 2.001,00 a $

5.000,00

De $ 5.001 a $

10.000,00

De $ 10.000,00 a $

20.000,00Más de $ 20.000,00

1. INSIGNIFICANTE 2. MENOR 3. MODERADO 4. SIGNIFICANTE5. MUY

SIGNIFICATIVO

IMPACTO

FREC

UEN

CIA

MATRIZ DE RIESGOS GRAFICA

27

Tabla 8.- Categorías de Eventos

Categorías de Eventos

(Nivel 1) Definición Categorías (Nivel 2) Ejemplos (Nivel 3)

Fraude Interno

Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o

a soslayar regulaciones, leyes o políticas empresariales (excluido los

eventos de diversidad / discriminación) en las que se encuentra implicada, al

menos, una parte interna a la empresa [11]

Actividades no autorizadas

Operaciones no reveladas (intencionalmente) Operaciones no autorizadas (con pérdidas

pecuniarias) Valoración errónea de posiciones (intencional)

Hurto y fraude

Fraude / fraude crediticio / depósitos sin valor. Hurto/ extorsión/ malversación / robo.

Apropiación indebida de activos. Destrucción maliciosa de activos

Falsificación Utilización de cheques sin fondos

Contrabando Apropiación de cuentas / fingimiento de

personalidad/ etc. Incumplimiento / evasión de impuestos

(Intencional) Sobornos / Cohechos

Abuso de información privilegiada (no a favor de la empresa)

Fraude Externo

Pérdidas derivadas de algún tipo de actuación encaminada a defraudar, apropiarse de bienes indebidamente o a soslayar la legislación, por parte un

tercero. [11]

Hurto y fraude

Hurto/ robo

Falsificación Circulación de cheques sin fondos

Seguridad de los sistemas Daños por ataques informáticos.

Robo de información (con pérdidas pecuniarias)

Relaciones laborales y

seguridad en el puesto de

trabajo

Pérdidas derivadas de actuaciones incompatibles con la legislación o acuerdos laborales, de higiene o

seguridad en el empleo, del pago de reclamaciones por daños a las

personas, o de eventos de diversidad / discriminación [11]

Relaciones laborales

Cuestiones relativas a remuneración, beneficios sociales, extinción de contratos.

Organización de la actividad laboral

Salud y seguridad en el puesto de trabajo

Responsabilidad común (resbalones, etc.) Eventos relacionados con las normas de higiene y seguridad

en el trabajo. Indemnizaciones a los trabajadores.

Diversidad y discriminación

Todo tipo de discriminación.

Prácticas con clientes, productos y

negocios.

Pérdidas derivadas del incumplimiento involuntario o negligente de una obligación

profesional frente a clientes concretos (incluidos requisitos fiduciarios y de

adecuación), o de la naturaleza o diseño de un producto. [11]

Adecuación, divulgación de información y

confianza

Abusos de confianza / incumplimiento de pautas

Aspectos de adecuación / divulgación de información [know your customer (KYC), etc.]

Quebrantamientos de la revelación de información sobre clientes minoristas.

Violación de privacidad. Ventas agresivas

Confusión de cuentas. Abuso de información confidencial. Responsabilidad del prestamista.

Prácticas inadecuadas de negocio o de mercado

Prácticas ajenas a la competencia

Prácticas inadecuadas de negociación / mercado. Manipulación del mercado

Abuso de información privilegiada (a favor de la empresa)

Actividades no autorizadas. Blanqueo de dinero

Defectos del producto Defectos del Producto (no autorizado, etc.)

Errores de los modelos

Selección, patrocinio y exposición.

Ausencia de investigación a clientes conforme a directrices.

Superación de los límites de exposición frente a clientes

Actividades de asesoramiento

Litigios sobre resultados de las actividades de asesoramiento

Daños de activos

materiales

Pérdidas derivadas de daños o perjuicios a activos materiales como

consecuencia de desastres naturales u otros acontecimientos. [11]

Desastres y otros acontecimientos

Pérdidas por desastres naturales

Pérdidas humanas por causas externas (terrorismo, vandalismo)

28

Incidencias del negocio y fallos en los

Sistemas

Pérdidas derivadas por fallos en los sistemas informáticos de la

Entidad. [11] Sistemas

Hardware defectuoso

Software defectuoso Telecomunicaciones

Interrupción de Servicios

Ejecución, entrega y

gestión de procesos

Pérdidas derivadas de errores en el procesamiento de operaciones o en

la gestión de procesos, así como de relaciones con contrapartes

comerciales y proveedores. [11]

Recepción, ejecución y mantenimiento de

operaciones

Comunicación defectuosa

Errores de introducción de datos, mantenimiento o carga.

Incumplimiento de plazos o de responsabilidades Funcionamiento erróneo de modelos / sistemas

Error contable / atribución a entidades erróneas. Errores en otras tareas.

Fallo en la entrega Fallo en la gestión colateral

Mantenimiento de datos de referencia

Seguimiento y comunicación de

informes

Incumplimiento de la obligación de informar

Inexactitud de informes externos (con generación de pérdidas)

Admisión de clientes y documentación

Inexistencia de autorizaciones / rechazos de clientes

Documentos jurídicos inexistentes / incompletos

Gestión de cuentas de clientes

Acceso no autorizado a cuentas Registros incorrectos de clientes (con generación

de pérdidas). Pérdida o daño por negligencia de activos de

clientes

Contrapartes comerciales

Prácticas inadecuadas de contrapartes distintas de clientes

Otros litigios con contrapartes distintas de clientes

Distribuidores y proveedores

Externalización - Tercerización Litigios con distribuidores

Riesgo Legal

Es la probabilidad de que una Institución Financiera sufra pérdidas

directas o indirectas; de que sus activos se encuentren expuestos a

situaciones de mayor vulnerabilidad; de que sus pasivos y contingentes

puedan verse incrementados más allá de los niveles esperados, o de que el

desarrollo de sus operaciones enfrente la eventualidad de ser afectado negativamente, debido a error,

negligencia, impericia, imprudencia o dolo, que deriven de la inobservancia, incorrecta o inoportuna aplicación de disposiciones legales o normativas, así

como de instrucciones de carácter general o particular emanadas de los

organismos de control; o en sentencias o resoluciones jurisdiccionales o administrativas adversas; o de la

deficiente redacción de los textos, formalización o ejecución de actos, contratos o transacciones, inclusive

distintos a los de su giro ordinario de negocio, o porque los derechos de las

partes contratantes no han sido claramente estipulados. [11]

Riesgo legal en actos societarios

Son todos aquellos procesos jurídicos que se debe realizar en orden a ejecutar y perfeccionar las

decisiones de la Junta General de Accionistas y del Directorio, necesarios para su desenvolvimiento

societario. Cuando la falla o insuficiencia atenta a la naturaleza jurídica de la Institución;

Riesgo legal en gestión de crédito

Es el conjunto de actividades que debe ejecutar la Institución relacionadas con el otorgamiento de

operaciones crediticias. Se inicia con la recepción de la solicitud de crédito y termina con la recuperación del valor prestado y sus intereses. Incluye la gestión

de recuperación de cartera tanto judicial como extrajudicial, la misma que debe proseguir aun

cuando la operación crediticia hubiere sido castigada.”

Riesgo legal en operaciones del giro

financiero

Es el conjunto de actividades o procesos que realiza la Institución para la ejecución de

operaciones propias del giro financiero, distintas a la gestión de crédito;

Riesgo legal en actividades

complementarias de las operaciones del giro

financiero

Es el conjunto de actividades o procesos que debe ejecutar la Institución que sin ser propias del giro financiero, son necesarias para el cumplimiento y

desarrollo de su objeto social.

Riesgo legal en cumplimiento legal y

normativo

Es el proceso mediante el cual la institución controla que sus actividades y sus operaciones se ajusten a las disposiciones legales y normativas

vigentes, así como la capacidad de adecuarse rápida y efectivamente a nuevas disposiciones legales y

normativas. Fuente: Resolución JB-834 Superintendencia de Bancos y Seguros


29

Figura 6.- Diagrama de Flujo Procedimiento de Medición

Diagrama de Flujo de Medición

PROVEEDOR ENTRADAEquipo de trabajo

TallerSALIDA CLIENTE

Identificación

Define el criterio del

cálculo para la

determinación del

Impacto y Frecuencia

Define la fórmula

de estimación de

Cálculo del

Impacto

Calculo

económico del

Impacto

Define la

estimación de la

Frecuencia

Determina Nivel

de Riesgos

Establece el

Proceso, y

Procedimiento

Selecciona el Tipo

de Riesgo Nivel 1

y Nivel 2

Control

Matriz con

Riesgos

Identificados

45 5

5 5

5, 6 7

7

Matriz con

Riesgos Medidos

5, 6, 7

DOCUMENTOS:

4.- Matriz con Riesgos

Identificados


6.- Matriz con Nivel de Riesgos

7.- Matriz de Riesgos por Tipo

de Riesgo



FO

RM

AS


30

5.1.4. Procedimiento de Control.-

El equipo de trabajo en el taller, para cada Riesgo Medido y No Aceptado; debe definir un Plan de

Acción que este orientado a las debilidades asociadas. Una debilidad puede estar relacionada a varios

planes de acción.

También se debe definir el objetivo de Mitigación, en base a la siguiente tabla:

Tabla 9.- Objetivos de Mitigación

Objetivo de Mitigación Definición

Correctivos Nos ayudan a corregir las debilidades

Detectivos Nos ayudan a detectar cuando se materializa un Riesgo

Preventivos Nos ayuda a prevenir la materialización de Riesgos Fuente: Investigación de Campo


El siguiente paso consiste en establecer la Contribución a la Mitigación, la cual se clasifica en los

siguientes elementos:

Tabla 10.- Contribución a la Mitigación

Contribución a la Mitigación Definición

Progresiva Conforme avanza la ejecución del Plan de Acción se va mitigando la debilidad

A Termino La debilidad se mitiga una vez finalizado e implementado el Plan de acción

Asumido Se asume la debilidad identificada (conforme Política General de riesgos asumidos)

No Gestionable Riesgos que se encuentran dentro del límite aceptado

Indefinido

Estatus transitorio cuando no se ha determinado con exactitud el plan de mitigación que debe implementarse, o no se han definido los responsables o la fecha de implementación de los mismos.


Se recomienda que un plan de mitigación se encuentre en Indefinido máximo por un mes, para

evitar pérdidas ocasionadas por la posible materialización de eventos.

31

Finalmente, para cada plan de acción se debe definir un Responsable y una Fecha de Cumplimiento,

la cual será monitoreada por el Responsable de Riesgo Operativo de la Institución.

El Comité de Administración Integral de Riesgos (CAIR), es el ente responsable de revisar los planes

propuestos y aprobarlos para su ejecución, si el CAIR no está de acuerdo con la implementación de

algún plan propuesto, este deberá ser revisado nuevamente por el equipo de trabajo para su replanteo.

32

Figura 7.- Diagrama de Flujo Procedimiento de Control

Diagrama de Flujo Control

PROVEEDOR ENTRADAEquipo de trabajo

TallerCAIR SALIDA CLIENTE

Medición

Define Planes de

Acción para atacar

las debilidades

identificadas

Define el Objetivo

del Plan de

Mitigación

Determina la

Contribución a la

Mitigación

Define: Fecha de

Cumplimiento y

Responsables.

Revisa la matriz

propuesta

Está de

acuerdo?SI Monitoreo

NO

Matriz con

Riesgos Medidos

5, 6, 7 8 8

8 8

Matriz con Planes

de Acción

8

2

Matriz de Riesgos

aprobada

8

DOCUMENTOS:



6.- Matriz con Nivel de Riesgos

7.- Matriz de Riesgos por Tipo

de Riesgo

8.- Matriz de Riesgos con

Planes de acción



FO

RM

AS


33

5.1.5. Procedimiento de Monitoreo.-

El Monitoreo en el Sistema Modelo de Administración de Riesgo Operativo, principalmente se basa

en la ejecución del seguimiento de la implementación de los planes de acción aprobados por el CAIR,

este trabajo lo ejecuta el Responsable de Riesgo Operativo de la Organización.

Adicionalmente y como valor agregado se puede emitir reportes para el CAIR, que provean la

siguiente información:

Nivel de exposición de Riesgos

Exposición por factor de Riesgo

Exposición por Tipo de Riesgo

Exposición por Proceso o Procedimiento

Y los demás reportes que el CAIR solicite generar para su revisión y monitoreo

de Riesgo Operativo.

El Monitoreo de los planes de acción deben ser presentados periódicamente al CAIR, el cual debe

revisar y emitir conclusiones y resoluciones orientadas al mejoramiento continuo del Sistema.

34

Figura 8.- Diagrama de Flujo Procedimiento de Monitoreo

Diagrama de flujo Monitoreo

PROVEEDOR ENTRADAResponsable del Plan

de Acción

Responsable de

Riesgo OperativoCAIR SALIDA CLIENTE

SAROL

Control

Realiza

Seguimiento

Reporta los

avances de los

Planes de Acción

Genera Reportes

de avances y de

Niveles de

Riesgos

Revisa reportes y

emite sus

Conclusiones y

Recomendaciones

SAROL

Matriz de Riesgo

aprobada

89

10

Conclusiones y

Recomendaciones

del CAIR

2

DOCUMENTOS:


8.- Matriz de Riesgos con

Planes de acción

9.- Seguimientos planes de

acción

10.- Informe de Riesgo

Operativo



FO

RM

AS


35

5.2. Evaluación preliminar

A continuación se presenta la ejemplificación de la aplicación metodológica en una Institución

Financiera del entorno:

5.2.1. Procedimiento de Planificación.-

Aplicación de la Matriz de Procesos Críticos: Esta matriz está conformada por los siguientes

elementos:

DATOS GENERALES:

a. Responsable:

b. Fecha de elaboración de la matriz

INFORMACIÓN DE PROCESOS INSTITUCIONALES:

a. Macro-proceso

b. Proceso

c. Procedimiento

CRITERIOS DE MEDICIÓN BASADOS EN LA CONTINUIDAD DEL NEGOCIO

a. Nivel de Criticidad ante un desastre grave:

i. Crítico (Peso para ponderación: 0,50)

ii. Esencial (Peso para ponderación: 0,30)

iii. Necesario (Peso para ponderación: 0,15)

iv. Deseable (Peso para ponderación: 0,05)

b. Tiempo mínimo de Recuperación:

i. Nunca se debe suspender (Peso para ponderación: 0,30)

ii. Hasta 8 horas laborables (Peso para ponderación: 0,25)

iii. Hasta 3 días laborables (Peso para ponderación: 0,18)

iv. Hasta 1 semana (Peso para ponderación: 0,12)

v. Hasta 2 semanas (Peso para ponderación: 0,10)

vi. Hasta 1 mes (Peso para ponderación: 0,05)

36

c. Nivel de servicio mínimo requerido:

i. 100% operativo (Peso para ponderación: 0,50)

ii. 75% operativo (Peso para ponderación: 0,30)

iii. 50% operativo (Peso para ponderación: 0,15)

iv. 25% operativo (Peso para ponderación: 0,05)

d. Imagen afectada:

i. Alta (Peso para ponderación: 0,60)

ii. Media (Peso para ponderación: 0,30)

iii. Baja (Peso para ponderación: 0,10)

Con esta matriz se realizó un taller con los dueños de los procesos Institucionales, y posteriormente

se procedió con la tabulación de la información, lo que dio como resultado el siguiente ranking de

macro procesos críticos en la organización:

1. Caja

2. Captaciones

3. Otorgamiento de Crédito

4. Tesorería y administración del flujo de efectivo

5. Tecnología de la Información y Comunicación

6. Gestión Contable

Esta información fue presentada al CAIR, quien, por la importancia del proceso en la organización,

decidió trabajar en el macro-proceso de Otorgamiento de Crédito.

Se ejecutó la siguiente planificación de trabajo:

37

Tabla 11.- Planificación de Trabajo

No. Actividad Responsable Comienzo Fin Observaciones

IDENTIFICACION 1 Revisión de documentación

relacionada al proceso Responsable de Riesgo Operativo

3-nov-2014 7-nov-2014

2 Identificación de debilidades del proceso


10-nov-2014 11-nov-2014

3 Definición de potenciales riesgos y tipo de pérdidas


13-nov-2014 13-ov-2014

4 Entrevista con los responsables del proceso


14-nov-2014 14-nov-2014

5 Levantamiento de la matriz de riesgos preliminar


17-nov-2014 17-nov-2014

6 Taller de levantamiento de eventos de Riesgo

Equipo de trabajo asignado

18-nov-2014 18-nov-2014

MEDICION 7 Definición de criterios de

cálculo para determinación de Impacto y frecuencia


19-nov-2014 19-nov-2014

8 Cálculo económico del impacto Equipo de trabajo asignado

20-nov-2014 21-nov-2014

9 Estimación de la frecuencia Equipo de trabajo asignado

24-nov-2014 24-nov-2014

10 Determinación del Nivel de Riesgos


25-nov-2014 25-nov-2014

11 Definición de los procesos y procedimientos afectados


25-nov-2014 25-nov-2014

12 Selección de Tipo de Riesgos Equipo de trabajo asignado

25-nov-2014 25-nov-2014

CONTROL 13 Definición de planes de acción Equipo de trabajo

asignado 01-dic-2014 01-dic-2014

14 Definición de Objetivos de Mitigación


01-dic-2014 01-dic-2014

15 Definición de la Contribución a la Mitigación


01-dic-2014 01-dic-2014

16 Definición de Fechas de cumplimiento y Responsables


01-dic-2014 01-dic-2014

17 Revisión y aprobación de la Matriz de Riesgos

CAIR 11-dic-2014 11-dic-2014

18 Ejecución de los planes de acción

Responsable de cada plan

Conforme plan aprobado

Conforme plan aprobado


El equipo de trabajo asignado fue el siguiente:

Gerente de Negocios

Gerente de Operaciones

Gerente de TIC’s

Gerente de Talento Humano

38

Oficial de Cumplimiento

Oficial de Seguridad de la Información

Auditor Interno


5.2.2. Procedimiento de Identificación.-

Conjuntamente con el Responsable de Riesgo Operativo se revisó la siguiente documentación

relacionada al proceso de Otorgamiento de Crédito:

Manuales, políticas y procedimientos internos

Instructivos y registros

Actas de Reunión

Informes de procesos de Auditoría

Entre otros documentos

Con esta información se levantaron las debilidades del proceso evaluado, para la ejemplificación de

la metodología se han seleccionado las siguientes debilidades:

1. Errores en el análisis de la capacidad de pago del cliente, debido a que las políticas han sido

definidas de manera muy general

2. Clientes inubicables por falta de confirmación de datos

3. Errores en el ingreso de datos de los clientes y relación con garantías

4. Falta de integridad en los datos, la base permite borrar información

5. Falta de control en garantías

6. El procedimiento de investigación no se encuentra estandarizado, se trabaja conforme la

experiencia del personal

7. Las pólizas de seguro no se emiten por toda la vigencia del crédito

8. En ocasiones el cliente firma autorización en blanco para emisión de cheque

9. No se ha analizado segregación de funciones

10. El personal no ha recibido capacitación sobre documentación falsa

11. No se encuentra documentado el procedimiento de créditos castigados

39

12. No existe documentado el procedimiento de paso a instancia legal de clientes morosos

Una vez identificadas las debilidades se procedió a la definición de los potenciales eventos de riesgo

y se asoció un tipo de pérdida:

Tabla 12.- Matriz Preliminar de Riesgos

No. Debilidad Riesgo Tipo de Pérdida

1 Errores en el análisis de la capacidad de pago del cliente, debido a que las políticas han sido definidas de manera muy general

R1: Imposibilidad de Recuperar crédito colocado

Disminución en el valor de los Activos Financieros

2 Clientes inubicables por falta de confirmación de datos



3 Errores en el ingreso de datos de los clientes y relación con garantías



4 Falta de integridad en los datos, la base permite borrar información



5 Falta de control en garantías R1: Imposibilidad de Recuperar crédito colocado


6 El procedimiento de investigación no se encuentra estandarizado, se trabaja conforme la experiencia del personal

R2: Necesidad de constituir mayor monto de provisiones por incremento de cartera vencida


R3: Emisión de operaciones cuya identidad es suplantada


7 Las pólizas de seguro no se emiten por toda la vigencia del crédito

R4: Pérdidas o deterioro de los bienes que garantizan créditos automotrices


8 En ocasiones el cliente firma autorización en blanco para emisión de cheque

R5: Apropiación indebida de valores por desembolsos de crédito


9 No se ha analizado segregación de funciones R5: Apropiación indebida de valores por desembolsos de crédito


10 El personal no ha recibido capacitación sobre documentación falsa

R3: Emisión de operaciones cuya identidad es suplantada


11 No se encuentra documentado el procedimiento de créditos castigados

R6: No castigar las operaciones vencidas de acuerdo a lo establecido en la Ley

Multas y Sanciones

12 No existe documentado el procedimiento de paso a instancia legal de clientes morosos

R2: Necesidad de constituir mayor monto de provisiones por incremento de cartera vencida



40

En la Tabla 12, se observa la existencia de 6 Riesgos que se han asociado a las 12 debilidades

identificadas en el proceso de Crédito, los cuales son:

1. R1: Imposibilidad de Recuperar Crédito Colocado.- se refiere a no poder realizar una

cobranza adecuada de los créditos otorgados debido a errores en el análisis de la capacidad

de pago del cliente, a falta de ubicación de clientes por procesos de investigación y

digitación deficientes, no existe control adecuado de garantías de los créditos.

2. R2: Necesidad de constituir mayor monto de provisiones por incremento de cartera

vencida.- se refiere a que por falta de procedimientos estandarizados de investigación de

clientes de crédito, se aprueben operaciones que en el corto plazo se van a vencer por las

condiciones naturales del cliente, lo cual va a generar mayor cantidad de cartera vencida y

por ende se deberá generar mayor gasto de provisión por créditos en mora.

3. R3: Emisión de operaciones cuya identidad es suplantada.- se refiere a que por falta de

procedimientos estandarizados de investigación de clientes de crédito, la Institución podría

ser víctima de delincuentes con identidad suplantada, a los cuales se les emite préstamos

que posteriormente serán irrecuperables.

4. R4: Pérdidas o deterioro de los bienes que garantizan créditos automotrices.- se

refiere a los créditos automotrices, los cuales generalmente son emitidos a cuatro años,

pero las pólizas de seguros de los vehículos se emiten por dos años, siendo el vehículo la

garantía del crédito, este se queda desprotegido por los dos años restantes del crédito.

5. R5: Apropiación indebida de valores por desembolsos de crédito.- se refiere a que se

puede generar un fraude interno al momento que el cliente firma una autorización en

blanco para la emisión de cheques, el Funcionario que recibe el formulario podría colocar

otra información no solicitada por el cliente.

6. R6: No castigar las operaciones vencidas de acuerdo a lo establecido en la Ley .- se

refiere a que la ausencia de un procedimiento estandarizado de créditos castigados,

conforme la normativa legal vigente, podría dejar casos no castigados por la falta de

conocimiento de los Funcionarios, lo cual sería sujeto de observación por parte del

organismo de control.

41

Se convocó al equipo de trabajo para la ejecución del taller, donde se confirmó la existencia de los

Riesgos identificados y se los clasificó por Factor de Riesgo y por Tipo de Debilidad, obteniendo la

siguiente matriz:

Tabla 13.- Matriz de Riesgos con Factor y Tipo de Debilidad

No. Riesgo Factor de Riesgos

Tipo de Debilidad Descripción de la Debilidad

R1 Imposibilidad de recuperar cartera de crédito colocada

Procesos Ausencia de políticas

Errores en el análisis de la capacidad de pago del cliente, debido a que las políticas han sido definidas de manera muy general

Procesos Deficiencias en el proceso de generación y manejo de información

Clientes inubicables por falta de confirmación de datos

Personas Falta de Capacitación Errores en el ingreso de datos de los clientes y relación con garantías

Tecnología de la Información

Errores en el diseño de aplicativos

Falta de integridad en los datos, la base permite borrar información

Procesos Ausencia de Políticas Falta de control en garantías

R2

Necesidad de constituir mayor monto de provisiones por incremento de cartera vencida

Procesos Procesos no documentados

El procedimiento de investigación no se encuentra estandarizado, se trabaja conforme la experiencia del personal


No existe documentado el procedimiento de paso a instancia legal de clientes morosos

R3 Emisión de operaciones cuya identidad es suplantada



Personas Falta de Capacitación El personal no ha recibido capacitación sobre documentación falsa

R4 Pérdidas o deterioro de los bienes que garantizan créditos automotrices

Procesos Ausencia de Políticas Las pólizas de seguro no se emiten por toda la vigencia del crédito

R5 Apropiación indebida de valores por desembolsos de crédito

Personas Fraude Interno En ocasiones el cliente firma autorización en blanco para emisión de cheque

Procesos Debilidades en el control interno

No se ha analizado segregación de funciones

R6 No castigar las operaciones vencidas de acuerdo a lo establecido en la Ley


No se encuentra documentado el procedimiento de créditos castigados


Con la finalización de esta matriz se ha concluido el procedimiento de Identificación y como

resultado se obtuvo la Matriz con Riesgos Identificados.

42

5.2.3. Procedimiento de Medición.

A continuación el equipo de trabajo procedió con la definición del criterio de cálculo para el Impacto

y la frecuencia de cada Riesgo Identificado:

Tabla 14.- Matriz de Riesgos con Medición de Impacto y Frecuencia

No. Riesgo Criterio de Cálculo* Frecuencia** Impacto**

R1 Imposibilidad de

recuperar cartera de crédito colocada

I:(total cartera castigada últimos 4 años * % crecimiento anual /# operaciones

castigadas últimos 4 años) F: (#operaciones castigadas en los

últimos 4 años * % crecimiento anual)

3

(3/360= 0,83% ) $ 5.500,00

R2

Necesidad de constituir mayor monto de provisiones por

incremento de cartera vencida

I: Promedio mensual de la variación del gasto de provisión del último año.

F: una vez por mes por requerimiento legal

12

(12/360= 3,33%) $ 18.325,00

R3 Emisión de operaciones

cuya identidad es suplantada

I: Promedio anual de créditos castigados por fraude externo

F: Número de créditos castigados por fraude eterno en el último año

6

(6/360= 1,67%) $ 4.800,00

R4

Pérdidas o deterioro de los bienes que

garantizan créditos automotrices

I: monto promedio de las garantías reales en custodia

F: 3 en un año

3

(3/360= 0,83%) $ 18.317,60

R5 Apropiación indebida de valores por desembolsos

de crédito

I: Monto promedio mensual de desembolso en cheques por emisión de

créditos F: Una vez al año, según los datos

históricos de la Institución

1

(1/360= 0,28%) $ 10.000,00

R6

No castigar las operaciones vencidas de acuerdo a lo establecido

en la Ley

I: Montos promedio de créditos que por sus características deben estar en

estado Castigado correspondientes al año anterior

F: Número de créditos que deberían estar en estado castigado por sus características del año anterior

122

(122/360= 33,89%)

$ 6.780,00

* I= Impacto F= Frecuencia ** Los datos para la obtención de la Frecuencia y el Impacto se encuentran en el Anexo 1



El siguiente paso fue la determinación del Nivel de Riesgo en base a la metodología establecida para

este efecto, a continuación se presentan los resultados tanto en la matriz de Riesgos como

gráficamente:

43

Tabla 15.- Matriz con Nivel de Riesgos

No. Riesgo Impacto Frecuencia Nivel de Riesgos*

I F T**

R1 Imposibilidad de recuperar cartera de crédito

colocada $ 5.500,00 3 (3/360= 0,83% )

Mo M RM

R2 Necesidad de constituir mayor monto de

provisiones por incremento de cartera vencida $ 18.325,00 12 (12/360= 3,33%)

S M RA

R3 Emisión de operaciones cuya identidad es

suplantada $ 4.800,00 6 (6/360= 1,67%)

Mn M RM

R4 Pérdidas o deterioro de los bienes que

garantizan créditos automotrices $ 18.317,60 3 (3/360= 0,83%)

S M RA

R5 Apropiación indebida de valores por

desembolsos de crédito $ 10.000,00 1 (1/360= 0,28%)

Mo B RB

R6 No castigar las operaciones vencidas de acuerdo

a lo establecido en la Ley $ 6.780,00 122 (122/360= 33,89%)

Mo A RA

* I= Impacto; F= Frecuencia; T= Total ** Ver Tablas: 3, 4, 5, 6, y 7 Fuente: Investigación de Campo


Figura 9.- Matriz con Nivel de Riesgos Gráfica


5. A

LTA

De

14

,45

% a

10

0%

4. M

EDIA

ALT

A

De

3,3

4%

a

14

,44

3. M

EDIA

De

0,5

7%

a

3,3

3%

2. M

EDIA

BA

JA

De

0,2

9%

a

0,5

6%

1. B

AJA

De

0,0

0%

a

0,2

8%

De $ 0,00 a $

2.000,00

De $ 2.001,00 a $

5.000,00

De $ 5.001 a $

10.000,00

De $ 10.000,00 a $

20.000,00Más de $ 20.000,00

1. INSIGNIFICANTE 2. MENOR 3. MODERADO 4. SIGNIFICANTE5. MUY

SIGNIFICATIVO

IMPACTO

FREC

UEN

CIA

MATRIZ DE RIESGOS GRAFICA

R6

R5

R4R3

R2

R1

44

Finalmente se identificó los procesos y procedimientos afectados y el Tipo de Riesgo Nivel 1 y Nivel

2:

Tabla 16.- Matriz de Riesgos Con Tipo de Riesgo Nivel 1 y 2

No. Riesgo Proceso Procedimiento Tipo de Riesgo

Nivel 1 Tipo de Riesgo

Nivel 2

R1 Imposibilidad de

recuperar cartera de crédito colocada

Otorgamiento de Crédito

Investigación Prácticas con

clientes productos y negocios

Prácticas inadecuadas de

negocio o de mercado

R2

Necesidad de constituir mayor monto de provisiones por

incremento de cartera vencida


Investigación Legal

Riesgo Legal Riesgo legal en cumplimiento

legal y normativo




Investigación Fraude Externo Hurto y fraude

R4

Pérdidas o deterioro de los bienes que

garantizan créditos automotrices


Manual de Políticas y de Otorgamiento de

Crédito

Ejecución entrega y gestión de

procesos

Admisión de clientes y

documentación

R5 Apropiación indebida

de valores por desembolsos de crédito

Gestión de Talento Humano

Perfil de funciones del cargo

Fraude Interno Hurto y fraude

R6

No castigar las operaciones vencidas de acuerdo a lo establecido

en la Ley

Legal Asesoría Jurídica Riesgo Legal Riesgo legal en cumplimiento

legal y normativo


5.2.4. Procedimiento de Control.-

El equipo de trabajo en el taller, para cada Riesgo Medido y No Aceptado; definió Planes de Acción

asociados directamente a las debilidades, a continuación se presentan los resultados:

45

Tabla 17.- Matriz de Riesgos con planes de acción

No. Riesgo Factor de Riesgos

Tipo de Debilidad

Descripción de la Debilidad

Plan de acción Objetivo de Mitigación

Fecha de Cumplimiento

Contribución a la Mitigación

Responsable

R1

Imposibilidad de recuperar cartera de crédito colocada

Procesos Ausencia de políticas

Errores en el análisis de la capacidad de pago del cliente, debido a que las políticas han sido definidas de manera muy general

Definir con detalle las políticas de calificación para aprobación de operaciones

Correctivo 09/01/2015 A termino Gerente de Negocios

Procesos

Deficiencias en el proceso de generación y manejo de información

Clientes inubicables por falta de confirmación de datos

Definir políticas para confirmación de datos en función de producto, mercado, segmento, etc. del cliente

Preventivo 09/01/2015 A termino Supervisor de Investigación

Personas Falta de Capacitación

Errores en el ingreso de datos de los clientes y relación con garantías

Planificar una capacitación sobre características especiales de los datos que se ingresan

Preventivo 09/01/2015 A termino Gerente de Talento Humano

Tecnología de la Información

Errores en el diseño de aplicativos

Falta de integridad en los datos, la base permite borrar información

Bloquear el campo de Observaciones dentro del aplicativo

Correctivo 23/01/2015 A termino Gerente de TIC’s

Procesos Ausencia de Políticas

Falta de control en garantías

Diseñar un control automático que alerte sobre garantías cruzadas

Correctivo 23/01/2015 A termino Gerente de TIC’s

R2

Necesidad de constituir mayor monto de provisiones por incremento de cartera vencida



Replantear el proceso de investigación el cual incluya procedimientos para verificación de datos y mapas mentales de gestión

Correctivo 02/01/2015 A termino Supervisor de investigación


No existe documentado el procedimiento de paso a instancia legal de clientes morosos

Definir políticas para envío y manejo de operaciones en instancia Legal

Correctivo 15/01/2015 A termino Coordinador Legal



El procedimiento de investigación no se

Replantear el proceso de

Correctivo 02/01/2015 A termino Supervisor de investigación

46


encuentra estandarizado, se trabaja conforme la experiencia del personal

investigación el cual incluya procedimientos para verificación de datos y mapas mentales de gestión

Personas Falta de Capacitación

El personal no ha recibido capacitación sobre documentación falsa

Diseñar un proceso de capacitación sobre características de documentos falsificados y mecanismos para su identificación

Preventivo 09/01/2015 A termino Gerente de Talento Humano

R4

Pérdidas o deterioro de los bienes que garantizan créditos automotrices

Procesos Ausencia de Políticas

Las pólizas de seguro no se emiten por toda la vigencia del crédito

Diseñar una estrategia de renovación de pólizas en conjunto con el Broker de Seguros

Preventivo 23/01/2015 A termino Gerente de Negocios

R5

Apropiación indebida de valores por desembolsos de crédito

Personas Fraude Interno

En ocasiones el cliente firma autorización en blanco para emisión de cheque

N/A N/A N/A Asumido N/A

R6

No castigar las operaciones vencidas de acuerdo a lo establecido en la Ley


No se encuentra documentado el procedimiento de créditos castigados

Levantar el proceso de castigos

Correctivo 16/01/2015 A termino Gerente de Procesos


47

El plan propuesto fue presentado al CAIR, quien revisó su contenido y estuvo de acuerdo con el

mismo, por lo tanto procedió con su aprobación.

5.2.5. Procedimiento de Monitoreo.-

El Responsable de Riesgo Operativo, con la Matriz de Riesgos aprobada por el CAIR procedió a

comunicar a cada responsable de ejecución de los planes de acción, para su gestión e implementación

en los tiempos establecidos.

Quincenalmente se realizó el seguimiento de avances de los planes de acción, hasta lograr la

implementación del 100% de los planes, esta información fue reportada al CAIR mensualmente.

Adicionalmente el Responsable de Riesgo Operativo presentó los siguientes reportes de la primera

aplicación metodológica:

Figura 10.- Nivel de exposición de Riesgos – Otorgamiento de Crédito


67%

16%

17%

Nivel de exposición de Riesgos Otorgamiento de Crédito

Riesgo Alto

Riesgo Medio

Riesgo Bajo

48

Figura 11.- Nivel de exposición por Factor de Riesgo– Otorgamiento de Crédito


Figura 12.- Nivel de exposición por Tipo de Riesgo– Otorgamiento de Crédito


69%

23%

8%

Exposición por Factor de Riesgo Otorgamiento de Crédito

PROCESOS

PERSONAS

TI

16%

33%

17%

17%

17%

Nivel de exposición por tipo de Riesgo Otorgamiento de Crédito

PRACTICAS CON CLIENTESPRODUCTOS O NEGOCIOS

RIESGO LEGAL

FRAUDE EXTERNO

EJECUCION ENTREGA Y GESTIONDE PROCESOS

FRAUDE INTERNO

49

Figura 13.- Nivel de exposición por Procesos– Otorgamiento de Crédito



Figura 14.- Nivel de exposición por Procedimientos– Otorgamiento de Crédito



67%

16%

17%

Nivel de exposición por Procesos Otorgamiento de Crédito

CREDITO

GESTION DEL TALENTOHUMANO

LEGAL

50%

16%

17%

17%

Nivel de exposición por Procedimientos Otorgamiento de Crédito

INVESTIGACION

MANUAL DE POLITICAS YPROCEDIMIENTOS DE CREDITO

PERFIL DE FUNCIONES DELCARGO

ASESORÍA JURÍDICA

50

5.3. Análisis de resultados

En la sección 5 se puede apreciar el Diseño metodológico que representa el modelo de un Sistema de

Administración de Riesgo Operativo y que cumple con los elementos solicitados en la normativa

emitida por la Superintendencia de Bancos del Ecuador, los cuales son: identificar, medir, controlar /

mitigar y monitorear la exposición de Riesgo Operativo.

En la sección 5.1 se observa la metodología aplicada en un proceso crítico organizacional,

identificado en una matriz de priorización de procesos; la aplicación piloto se realiza en el proceso de

Otorgamiento de Crédito donde se desarrollaron las siguientes actividades:

Planificación del trabajo

Identificación de riesgos operativos

Medición de riesgos operativos

Control y mitigación de debilidades que potencialmente pueden materializar los

Riesgos identificados

Monitoreo de planes de acción

Elaboración de gráficos de nivel de exposición por diferentes elementos

analizados en la metodología, que permiten generar reportes y entender mejor

en que frentes debe trabajar la organización para disminuir su grado de

exposición.

Se puede manifestar que los objetivos planteados en la investigación se han cumplido y que la

metodología propuesta es aplicable y cumple con el requerimiento legal.

La metodología propuesta tiene la visión de levantar información de los diferentes procesos

organizacionales, en base a un trabajo priorizado, en el corto plazo se podría evaluar a las principales

actividades del negocio, con lo cual se lograría dos objetivos importantes:

Disminuir el nivel de exposición al Riesgo Operativo

Preparar bases de datos para la generación de modelos estadísticos de

predicción de pérdidas esperadas y generación de provisiones.

51

Es importante recalcar que a menor exposición de Riesgo Operativo, menor generación de gasto de

provisión, lo cual genera mayor utilidad a la Institución Financiera.

A continuación se presenta un formato para recolección de eventos materializados, el cual deberá

ser implementado en toda la organización. Con la información recolectada a través de este formato, se

deberá generar actividades de investigación por parte de los responsables de Riesgo Operativo que

permitirá generara la información para la base de datos de eventos, la cual se ejemplifica en la Tabla 19.

Tabla 18.- Formato para recolección de eventos de pérdida materializados


SI: NO:

Para uso exclusivo de Riesgo Operativo:

Fecha de recepción:

Detalles de la investigación:

Reporte de Eventos de Riesgo Operativo

Cómo se recuperó la pérdida:

Fecha de ocurrecia del evento

Recibido por:

Proceso donde se materializó:

Pérdida registrada:

Se recuperó la pérdida? :

Evento de Riesgo Operativo: es un hecho que deriva en una pérdida financiera

para la Insti tución

Fecha de Reporte:

Identificado por:

Descripción del evento:

52

Tabla 19.- Base de datos modelo para pérdidas materializadas

Campos Descripción

Familia de productos Clasificación de la familia de productos, tal como se ha clasificado comercialmente, afectado por el evento de pérdida operacional, por ejemplo: Crédito, Captaciones.

Producto Nombre del producto afectado por el evento de pérdida operacional, por ejemplo: Crédito de consumo, Crédito Comercial, Certificados Financieros, etc.

Afectado Cliente, usuario o empresa afectada, si hubiere.

Cédula/ RUC Número de identificación tributaria del cliente afectado, si aplica.

Línea de negocio Línea de Negocios a la cual pertenece el cliente según la clasificación de la Institución: Banca Minorista.

Área o Unidad Nombre del área o unidad en la cual se produjo el evento que originó la pérdida.

Sucursal o Agencia Nombre de la sucursal o agencia en la cual se produjo el evento que originó la pérdida.

Macro-proceso Nombre del macro-proceso en el cual se ha producido el evento, Ejemplo: Gobernante, Productivos o Habilitantes

Proceso Nombre del proceso en el cual se ha producido el evento, Ejemplo: Crédito, Captaciones, Caja.

Procedimiento Nombre del Procedimiento en el cual se ha producido el evento. (si aplica), Ejemplo: Implementación, Cobranzas, Renovaciones, etc.

Descripción detallada de lo ocurrido

Relato detallado de lo ocurrido. Incluir las causas (fallas e insuficiencias) que originaron el evento de pérdida operacional detectado.

Tipo de evento Clasificación del evento de pérdida operacional según el Capítulo V, del Título X, del Libro I de la Codificación de Resoluciones Bancarias, según Basilea y ANEXO I.

Sub–tipo de evento Clasificación del evento de pérdida operacional según Basilea y según ANEXO I.

Factor de Riesgo Clasificación de las causas que originaron las pérdidas según su fuente (factor de riesgo operacional principal): procesos, personas, tecnología de información o eventos externos.

Fecha inicial Fecha en la cual se considera que comenzó a tener lugar la pérdida.

Fecha final Fecha en la cual se considera que finalizó la ocurrencia de la pérdida.

Fecha de descubrimiento

Fecha en la cual la Institución descubre o es alertado del evento de pérdida.

Área o Unidad que reporta

Nombre de la base de datos (sistema o software), área o unidad que reporta el evento de pérdida. Puede ser un área diferente a la protagonista del evento.

Nombre del que reporta

Nombre de la persona que reporta el evento de pérdida. Puede ser diferente a la protagonista del evento.

Responsabilidad Legal ($)

Consiste en fallos, veredictos, acuerdos y otros costos legales (incluye honorarios de abogados externos), en que ha sido necesario incurrir como consecuencia de la pérdida sufrida.

Acciones Regulatorias ($)

Consiste en el pago de multas o de cualquier otra sanción, como la revocación de una licencia, pérdida de un negocio, etc. Las mismas incluyen los valores pagados por violaciones a las regulaciones y los honorarios pagados a asesores o abogados por representación en juicios relacionados con este tipo de violaciones.

Pérdidas o daños de activos fijos ($)

Consiste en la reducción directa del valor de los activos fijos debido a desastres u otros eventos (por ejemplo: negligencia, accidente, incendio, terremoto, terrorismo).

Restitución a terceros ($)

Consiste en el pago a clientes o terceros por concepto de pérdidas operacionales por las cuales la Institución es legalmente responsable.

Pérdida del Recurso Consiste en pérdidas originadas cuando un tercero no cumple sus obligaciones

53


($) contractuales con la Institución y este debido a errores operacionales, no puede ejercer sus derechos para efectuar dicho cobro (por ejemplo: una garantía mal constituida).

Costos internos ($) Gastos no esperados para investigar, corregir e implantar soluciones permanentes como consecuencia de las pérdidas operativas. Los costos podrían incluir contratación temporal de personas, re-procesos, consultores, contadores, abogados u horas extras del personal interno. Todos los valores deberían ser los montos efectivamente gastados o incurridos.

Pérdida antes de seguros ($)

Pérdida en la que se incurre antes de gestionar la recuperación por seguros u otro tipo de recuperaciones.

Cantidad recuperada por seguros ($)

Monto recuperado por seguros, si aplica.

Otras recuperaciones ($)

Monto recuperado por vías diferentes a reclamaciones de seguros, si aplica.

Situación de la recuperación por seguros

Indicar si la recuperación por seguros se encuentra en proceso o si ya ha finalizado.

Pérdida operacional total ($)

Es la sumatoria de las pérdidas operacionales.

Ingresos dejados de percibir ($)

Costos de oportunidad y demás ingresos dejados de percibir como consecuencia de la ocurrencia del evento de pérdida.

Fecha de registro Fecha en la cual se ingresa la información del evento de pérdida operacional a la base de datos.

54

Capítulo 6

6. Conclusiones y Recomendaciones

6.1. Conclusiones

En el Sistema Financiero la aplicación de un Sistema de Riesgo Operativo es

normativamente obligatorio y el organismo de control velará por su cumplimiento a través

de procesos de supervisión, por lo que cada Institución debe buscar y adaptar las

metodologías conforme su tamaño, necesidad y disponibilidad de recursos.

La normativa ecuatoriana de Riesgo Operativo se encuentra en su primera fase de

implementación, una vez que el sistema genere resultados, los requerimientos normativos

se volverán más exigentes, hasta llegar a normar requerimientos mínimos de capital a

través de métodos de cálculo que se basarán en la calidad de las bases de datos generadas

en esta primera etapa.

La información que este Sistema genera es de gran relevancia para la Institución, permite

enfocar los esfuerzos hacia las principales debilidades de los procesos y optimizar los

recursos disponibles, por ejemplo:

o Cálculo del nivel de exposición por proceso

o Identificación de los factores que mayor exposición genera dentro de un proceso

o Identificación de los tipos de riesgos con mayor exposición dentro del proceso

o Conocer que procesos y procedimientos internos, presentan un mayor grado de

debilidades y vulnerabilidades en la exposición de riesgo operativo

Mantener un Sistema de Riesgo Operativo efectivo dentro de la organización, apoya

directamente en los procesos de Mejoramiento Continuo y proactivamente previene

pérdidas económicas innecesarias por fallas en los Factores de Riesgo (Procesos, Personas,

Tecnología de la Información y Eventos externos).

55

6.2. Recomendaciones

En este proceso es indispensable el compromiso y conocimiento por parte de la alta

Dirección organizacional, de lo contrario la implementación de este Sistema se limitará a

un cumplimiento normativo y no agregará valor en la Administración Integral de Riesgos.

Generar procesos de sensibilización y capacitación a todos los miembros de la

organización es otro factor indispensable, de esta manera se involucra al personal y se

logra el compromiso y apoyo necesario en la implementación y mantenimiento del sistema.

El Responsable de Riesgo Operativo dentro de la organización debe tener experiencia y

conocimientos sobre la temática de Riesgo Operativo, de lo contrario se deberá invertir en

la formación de la persona seleccionada.

La metodología propuesta únicamente requiere de la herramienta Excel, se recomienda

implementarla y generar resultados con esta herramienta y considerar la adquisición de

paquetes informáticos para una segunda etapa, es decir una vez que se ha consolidado el

conocimiento y la experiencia metodológica.

56

REFERENCIAS

[1] Ana Fernandez-Laviada, La Gestión del Riesgo Operacional: de la teoría a su aplicación, 2007

[2] AIFE, Almeida Miguel, Lo que el personal de la Auditoria Interna debe conocer para evaluar y

mitigar el Riesgo Operacional, 2007

[3] AS/NZS 4360:1999 Estándar Australiano – Administración de Riesgos: Australia, 1999

[4] Carrillo Santiago, Introducción a los riesgos financieros: el riesgo operacional, 2004.

[5] Comité de Supervisión Bancaria de Basilea, Convergencia internacional de medidas y normas de

Capital, Basilea, 2004.

[6] Committe of Sponsoring Organizations of the Treadway Commission (COSO), Administración de

Riesgos Corporativos, Marco Integrado, Resumen Ejecutivo, 2005.

[7] Committe of Sponsoring Organizations of the Treadway Commission (COSO), Administración de

Riesgos Corporativos, Marco Integrado, Técnicas de aplicación, 2005

[8] Heredia Carlos, Gestión de Riesgo Operativo y Plan de Continuidad de Negocio, 2010

[9] Hernández Rubén, Tecnológico de Monterrey, Administración del Riesgo Operativo, 2009

[10] José, Llaguno, Gestión del riesgo operativo en las entidades de crédito: un camino sin retorno,

2005,

[11] Superintendencia de Bancos y Seguros del Ecuador, Normas Generales para la aplicación de la Ley

general de Instituciones del Sistema Financiero, Capítulo V de la Gestión de Riesgo Operativo, 2005

[12] Superintendencia de Bancos y Seguros del Ecuador, Junta Bancaria, Codificación de Resoluciones

Bancarias, 2008.

[13] Superintendencia de Bancos, Seguros y Administración de Fondos de Pensiones del Perú,

Resolución SBS No. 2116, 2009.

57

Resumen Final

Diseño de una metodología de administración de riesgo operativo para la

minimización de pérdidas económicas, basada en la Resolución SBS No. JB-834


56 páginas

Proyecto dirigido por: Eco. MG. Telmo Diego Proaño Córdova


particularmente en el cumplimiento normativo y legal ecuatoriano según la resolución JB - 834 emitido

por la Superintendencia de Bancos del Ecuador, el cual se refiere a la implementación obligatoria en

todas las Instituciones Financieras controladas por el ente referido, sobre la Administración del Riesgo

Operativo. [11]


procesos y se puede materializar por muchas causas, generando pérdidas en la organización. El método

aplicado en esta investigación es Inductivo – Deductivo, con el cual se estableció la metodología

propuesta, su objetivo es crear procedimientos que permitan Identificar riesgos de manera temprana,

medirlos y conocer el nivel de exposición que representan en la institución, controlarlos a través de

planes de acción en base al apetito de riesgos institucional y generar técnicas de monitoreo del

cumplimiento de mitigantes y del nivel de exposición. [7]


generado un resultado enriquecedor para la Institución. El mantenimiento y mejoramiento del sistema

dependerá del grado de compromiso por parte de la alta dirección y la difusión impartida a los

colaboradores de la entidad, es vital la participación activa de todos los miembros de la organización.

58

ANEXO 1

Cálculo de Impacto y Frecuencia según los criterios de Cálculo definidos en

la Tabla 14.- Matriz de Riesgos con Medición de Impacto y Frecuencia

1. R1: Imposibilidad de Recuperar Crédito Colocado.-

Impacto: (total cartera castigada últimos 4 años * % crecimiento anual / # operaciones

castigadas últimos 4 años)

Tiempo: Total Cartera Castigada: % de Crecimiento: Crecimiento en 4 años:

Año 1 770.000,00

2%

15.400,00

Año 2 785.400,00 15.708,00

Año 3 801.108,00 16.022,16

Año 4 817.130,16 16.342,60

Total Cartera Castigada: 817.130,16

# Operaciones castigadas en los últimos 4 años: 149

Impacto Real: $ 5.500,00

Frecuencia: (#operaciones castigadas en los últimos 4 años * % crecimiento anual)

Tiempo: # Operaciones castigadas % de Crecimiento: Crecimiento en 4 años:

Año 1 140

2%

3

Año 2 143 3

Año 3 146 3

Año 4 149 3

Frecuencia: 3

2. R2: Necesidad de constituir mayor monto de provisiones por incremento de cartera

vencida.-

Impacto: Promedio mensual de la variación del gasto de provisión del último año.

Año 2014 Variación Gasto Provisión

Enero 28.397,00

Febrero 25.679,00

Marzo 15.345,00

Abril 15.438,00

59

Mayo 19.899,00

Junio 17.458,00

Julio 16.547,00

Agosto 12.376,00

Septiembre 1.987,00

Octubre 22.356,00

Noviembre 19.834,00

Diciembre 24.584,00

Promedio Anual 18.325,00

Frecuencia: una vez por mes por requerimiento legal

Frecuencia: 12

3. R3: Emisión de operaciones cuya identidad es suplantada.-

Impacto: Promedio anual de créditos castigados por fraude externo

Operaciones Monto

1 7.000

2 4.500

3 4.800

4 4.000

5 5.000

6 3.500

Promedio 4.800

Frecuencia: Número de créditos castigados por fraude externo en el último año

Frecuencia 6

4. R4: Pérdidas o deterioro de los bienes que garantizan créditos automotrices.-

Impacto: monto promedio de las garantías reales en custodia

Monto garantía $ 16’705.650

Operaciones con garantía 912

Monto Promedio Crédito Automotriz $ 18.317,60

Frecuencia: 3 en un año, según los datos históricos de la Institución

Frecuencia 3

60

5. R5: Apropiación indebida de valores por desembolsos de crédito.-

Impacto: Monto promedio mensual de desembolso en cheques por emisión de créditos

Monto de Cheques emitidos $ 1’800.000,00

Cantidad de cheques emitidos 180

Impacto $ 10.000,00

Frecuencia: 1 vez al año, según los datos históricos de la Institución

Frecuencia 1

6. R6: No castigar las operaciones vencidas de acuerdo a lo establecido en la Ley.-

Impacto: Montos promedio de créditos que por sus características deben estar en estado

Castigado correspondientes al año anterior

Monto promedio de operaciones que por su estado deberían estar castigadas

$ 827.160,00

# de operaciones que por sus características deberían estar castigadas

122

Impacto $ 6.780,00

Frecuencia: Número de créditos que deberían estar en estado castigado por sus

características del año anterior

Frecuencia 122

unidad acadÉmica - repositorio pucesa: página de...

Documents